El grupo de cibercriminales REVil ha cumplido su amenaza y ha filtrado 8GB de información sensible de Adif de los 800 que posee. Hay bases de datos, ‘e-mails’ e información financiera
Lanzaron una amenaza y la han cumplido. El grupo de cibercriminales REVil, que este miércoles anunció el ataque a los sistemas informáticos de Adif, fue tan escueto como claro en el mensaje lanzado hacia la empresa pública española: «Si no cumplís nuestras condiciones, vuestra información será publicada. Seguiremos descargando vuestros datos hasta que contactéis con nosotros». Y han acabado haciéndolo.
Este jueves, a través de la página de la ‘dark web’ Happy Blog, solo accesible mediante el navegador Tor, el grupo ha difundido 8GB de material sensible, datos e información privada de Adif. Este material apenas representa un 1% de los 800 gigas que el grupo de ciberdelincuentes asegura tener en su poder. Las Fuerzas y Cuerpos de Seguridad del Estado ya han sido avisadas para que traten de eliminar este contenido y evitar su difusión.
Los datos filtrados en esta primera publicación incluyen más de 1.000 archivos y carpetas pertenecientes a la empresa pública con un amplio abanico de material privado y sensible: correspondencia electrónica entre empleados, ‘e-mails’, direcciones de contacto, bases de datos e información correspondiente al departamento financiero de Adif. Este diario ha corroborado la veracidad de ciertas cifras existentes en los documentos, así como la pertenencia de dichos empleados a Adif y las direcciones de correo electrónico que aparecen en la filtración.
¿Qué se puede hacer con esos datos?
Como asegura a Teknautas Vicente Delgado, detective privado y ‘hacker’, «de los documentos extraídos se podría tener constancia de rutas hacía servidores o hacia equipos dentro de las redes, rutas internas dentro del dominio, etc.». Además, «a través de los metadatos de los equipos se podría obtener los nombres de usuarios de algunos de ellos (incluso el nombre completo de los usuarios), los sistemas operativos utilizados, el ‘software’ instalado…».
Los ocho gigas filtrados son solo el 1% del material, así que «habría que ver si existe algún archivo con contraseñas, cuentas bancarias, etc.»
Para el ‘hacker’, «la información es sensible para Adif, ya que son documentos internos de la operativa diaria de la compañía. Estos documentos y estas bases de datos no son públicos y su confidencialidad es alta, ya que incluso pueden ser utilizados por la competencia al poder encontrarse informaciones sobre rentabilidades, horarios, retrasos, costes, etc.». En su opinión, «las empresas como Adif tienen una buena política de seguridad en cuanto a copias de seguridad, por lo que entiendo que su problema no es la pérdida de la información, sino el uso que terceros puedan hacer de esa información».
Adif confirmó este miércoles a El Confidencial la veracidad del ciberataque, aunque aseguró que «ha sido controlado por los servicios internos de seguridad. En ningún momento se ha visto afectada la infraestructura, garantizándose siempre el buen funcionamiento de todos sus servicios».
REVil, un grupo cibercriminal conocido
El grupo REVil ha sido especialmente conocido en los últimos meses: en mayo ciberatacaron al despacho de representantes de Lady Gaga y, tras exigir un rescate de 42 millones de dólares que no fue abonado, subastaron ‘online’ 756 gigas de información privada de la cantante. Un mes antes, en abril, también ciberatacaron a la empresa de cambio de divisas Travelex, que decidió pagar 2,3 millones al grupo.
Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft, asegura a Teknautas que REVil es una posible escisión del colectivo cibercriminal GandCrab. «La evidencia sugiere una conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes» (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).