Así funciona Trinity, el ransomware con el que supuestamente han robado datos a Hacienda

Trinity permite rastrear en busca de los archivos objetivo antes de cifrarlos

Este domingo saltaba una alerta muy importante en el que se avisaba que la Agencia Tributaria había sido supuestamente atacada por un ransomware que habría conseguido sustraer 560 GB de datos. Todo ello acompañado de un 'rescate' de 38 millones de dólares que debe pagar el Estado si no quiere que los datos acaben filtrados. Todo esto con un ransomware llamado 'Trinity'. Te contamos de qué se trata.

Para poder entender a Trinity nos tenemos que ir hasta mayo de 2024, cuando se detectó por primera vez. Un ransomware que tiene la capacidad de acceder a los sistemas y cifrar la información que se sustrae para que nadie pueda acceder con ella.

Un vistazo a…
Ransomware qué es, cómo infecta y cómo protegerse

Trinity como una forma de cifrar datos de un objetivo

Acceder a los servidores de Hacienda no es tarea fácil, pero con un simple descuido de phishing a través de un funcionario que tenga acceso a los servidores o un sitio web malicioso pueden ser suficientes para acceder. Una vez está el ransomware en el sistema ya solo trata de ganar permisos para expandirse por toda la red y comenzar a secuestrar todos los datos. Algo que vimos ya en otras instituciones como hospitales españoles.

Hive Pro explica como al infiltrarse en su servidor objetivo ya solo tiene que comenzar a localizar todos los archivos a los que logra expandirse y posteriormente los cifra para que nadie pueda acceder a ellos. Salvo que se cuente con la correspondiente clave que es desconocida para las víctimas. De esta manera, deben pagar para tener acceso a esta clave y desbloquear el acceso a los archivos. Aunque igualmente, antes transfieren estos datos para tener una segunda vía para presionar a la vícitma en el caso de que no quiera pagar.

Los archivos quedan cifrados a través del cifrado ChaCha20 que hemos visto en otro tipo de malware. Lo que se consigue al final con este es que en la pantalla del escritorio aparezca un fondo totalmente diferente al cambiar el registro de Windows y también aparezca un archivo de texto donde se informa del modo de pagar el rescate.

Estamos ante un ataque realmente agresivo, pues no hay forma conocida de descifrar los archivos. Lo único que queda es pagar a los delincuentes a través de criptomonedas y con la posibilidad de realizar una comunicación por Tor.

La Agencia Tributaria sigue sin reconocer el ciberataque. Tras contactar con la AEAT desde Genbeta nos hemos encontrado una respuesta rotunda en el que afirman: "Se han revisado todos los sistemas y están funcionando todos los servicios sin ningún problema y no se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos. La Agencia Tributaria mantiene bajo observación todos sus sistemas para hacer seguimiento."

Imágenes | Desola Lanre-Ologun James Harrison

En Genbeta | Un hacker ha contado los errores que cometemos al elegir una contraseña. No querrás repetirlos

Ver todos los comentarios en https://www.genbeta.com

VER 1 Comentario

Portada de Genbeta