LockBit suma a otra empresa argentina entre sus víctimas de ransomware: Grupo Albanesi
Los ciberdelincuentes subieron a su sitio una cuenta regresiva para extorsionar por un pago.
LockBit , uno de los grupos de ransomware más grandes del mundo, listó entre sus víctimas a Grupo Albanesi , principal comercializador de gas natural de Argentina y proveedor de suministro eléctrico. El ransomware es un tipo de programa que usan los ciberdelincuentes para encriptar datos de sus víctimas -es decir, volverlos inaccesibles - y pedir un rescate en dinero a cambio. Clarín se contactó con Grupo Albanesi pero la empresa decidió no hacer declaraciones, por lo que es difícil saber si los archivos comprometidos tienen que ver con el funcionamiento de la infraestructura crítica o si están relacionados a cuestiones más administrativas. Grupo Albanesi es un enclave estratégico para la zona industrial entre el sur de Rosario y San Nicolás. Tienen 33 años comercializando gas natural y 23 energía en general, con 9 plantas y 1.380 MW instalados. Todavía no trascendió la cifra que demandan y, al día jueves de esta semana, los archivos se publicarán en 12 días. LockBit ya tiene un historial con compañías argentinas: Ingenio Ledesma y Osde , el primer caso con datos administrativos y poco daño infligido, pero el segundo con filtraciones de pacientes e información sensible de afiliados a la prepaga . Otro caso de empresa de energía en Argentina fue el de Transportadora de Gas del Sur en abril del año pasado, atacada en esa ocasión por el grupo llamado Black Cat (ALPHV) . Sobre LockBit El grupo de ciberdelincuentes que encriptó a Albanesi es uno de los más prolíficos del mundo. Apareció por primera vez en septiembre de 2019 y, según datos de Kela, tuvo un dominio absoluto de la escena del cibercrimen en 2022, con un 28.57% de los ataques de ransomware. Se dedican a lo que se conoce como “Big Game Hunting” , buscan objetivos con grandes posiciones económicas, que pueden ser empresas o Gobiernos. Antes de encriptar estudian todo: cuánto facturan, cantidad de empleados y si cotizan en bolsa. Cometen sus delitos con el sistema conocido como RaaS , esto es Ransomware As a Service (como servicio), que trabaja con “ afiliados ”. Tras la desaparición del grupo de ransomware REvil , LockBit se relanzó como LockBit 2.0 , junto con un programa de afiliación actualizado. Esto tenía el objetivo de atraer a exmiembros de otros grupos como REvil, que incluso terminó tras las rejas . “Las bandas que tienen esta modalidad ponen a la venta su código malicioso. Esto, generalmente es a través de la dark web : allí venden su programa para encriptar y buscan a quien lo despliegue", describe a Clarín Arturo Torres, Estratega de Inteligencia contra Amenazas para FortiGuard Labs para Latinoamérica y el Caribe. "El partner o afiliado puede ser un empleado de la empresa atacada, o alguien que compró el servicio para depositarlo en una víctima, porque tiene acceso privilegiado", agrega. "Cuando se despliega el ransomware y se infecta una compañía, arranca la extorsión y la negociación. Ahí es cuando la banda empieza a interactuar. Luego de negociar se reparten las ganancias entre el creador del código malicioso, es decir, el grupo cibercriminal, y sus afiliados”, suma el experto de Fortinet. LockBit es conocido por darles el 20% del beneficio económico a sus socios. En este sentido, es difícil muchas veces saber cómo "entró" el ransomware al sistema: puede ser por negligencia de alguien que trabaje en la empresa (phishing, por ejemplo) o, en algunos casos, de manera deliberada. LockBit lanzó su última versión hace unas semanas, conocida como LockBit Green , basado en el de Conti (una banda ya disuelta). Tanto el código fuente como la organización criminal se actualizan permanentemente. Los ciberdelincuentes no son inmunes, de todos modos. A fines de enero, el FBI, junto a otras fuerzas de seguridad internacionales, desarticuló Hive , otro grupo al que se le adjudicaron unas 1.500 entidades en 80 países . Cuantos más blancos atacan, y de más alto perfil, más quedan expuestos a este tipo de operaciones. La industria, un paso atrás en seguridad informática Los sistemas industriales, conocidos como OT en la jerga (Operation Technology), presentan serios atrasos. Esto las vuelve un blanco muy buscado por los ciberdelincuentes, debido a la enorme superficie de ataque que presentan y las pocas medidas de higiene digital. “Hay algo de no querer tocar las cosas que funcionan bien, muchas veces esos sistemas costaron mucho trabajo y esfuerzo para que funcionen, y cambiar algo puede representar un impacto grande en toda la cadena de producción”, había contado el año pasado Hernando Castiglioni , senior manager de Fortinet para Argentina, Uruguay, Paraguay, Bolivia y Venezuela. Esto conlleva un peligro enorme: al usar sistemas viejos, no tienen actualizaciones de seguridad y son altamente vulnerables. “La industria tuvo, históricamente, redes que vienen del mundo serial, que estuvieron siempre separadas del mundo tradicional IT : las redes de internet, el mail, el intercambio de archivos”, comentaba. “Esas redes manejan muchos sensores, actuadores, formas de medir y de controlar procesos, con sistemas que vienen de los años 60 o 70. Una red de transporte, eléctrica, de petróleo, manufacturas : todos esos sistemas no fueron pensados ni nacieron con una lógica de protección desde la ciberseguridad. La mayoría de los protocolos son viejos”, advertía el experto. Hubo casos gravísimos donde ciberdelincuentes apuntaron a desmantelar reactores nucleares, que pueden hacer volar a una ciudad entera. Y hasta hay malwares (virus) específicos para este sector productivo, como es el caso de Industroyer de Rusia contra Ucrania. El caso más resonante fue el de la empresa energética Colonial Pipeline en 2021 , en Estados Unidos. SL