El Instituto Agrario Dominicano de República Dominicana sufrió un ataque de ransomware Quantum que cifró múltiples servicios y estaciones de trabajo en toda la agencia gubernamental. El Instituto Agrario Dominicano (IAD) es parte del Ministerio de Agricultura y es responsable de ejecutar los programas de Reforma Agraria en el país.
Los medios locales informan que el ataque de ransomware ocurrió el 18 de agosto, lo que ha afectado la operación de la agencia.
“Piden más de 600 mil dólares. Nos afectaron cuatro servidores físicos y ocho servidores virtuales, prácticamente todos los servidores”, dijo a medios locales el director de Tecnología del IAD.
El Centro Nacional de Ciberseguridad (CNCS), que ha estado ayudando a la agencia a recuperarse del ataque, dice que las direcciones IP de los atacantes eran de EE. UU. y Rusia. “La información quedó totalmente comprometida, porque se afectaron las bases de datos, aplicaciones, correos, etc.”, aseguró el director de Tecnología del IAD.
El IAD ha dicho a los medios locales que solo tenían software de seguridad básico en sus sistemas, como antivirus, y carecen de un departamento de seguridad dedicado.
Se rumora que la agencia no pagara el rescate, ya que no tienen los fondos suficientes para cubrir ese gasto y se confirma que Quantum estaba detrás del ataque, que inicialmente exigió un rescate de $ 650,000 de la agencia.
Los actores de amenazas afirmaron haber robado más de 1 TB de datos y amenazaron con liberarlos si IAD no pagaba un rescate públicamente.
Quantum se está convirtiendo en un jugador importante entre las operaciones de ransomware dirigidas a empresas, vinculadas a un ataque a PFC que afectó a más de 650 organizaciones de atención médica. Se cree que la pandilla de ransomware se convirtió en una rama de la operación de ransomware Conti, que asumió el cambio de marca anterior de la operación de ransomware MountLocker .
MountLocker se implementó por primera vez en ataques que comenzaron en septiembre de 2020, pero se renombró varias veces con varios nombres , incluidos AstroLocker, XingLocker y, finalmente, Quantum.
El cambio de marca a Quantum ocurrió en agosto de 2021, cuando su encriptador de ransomware cambió para agregar la extensión de archivo .quantum a los nombres de los archivos encriptados. Después de eso, sin embargo, el cambio de marca nunca se volvió particularmente activo, con la operación mayormente inactiva. Eso fue hasta que la operación de ransomware Conti comenzó a cerrarse y sus miembros comenzaron a buscar otras operaciones para infiltrarse.
Según Yelisey Boguslavskiy de Advanced Intel, algunos miembros del sindicato de delitos cibernéticos Conti se unieron a las filas de la operación Quantum, que también vio inmediatamente un aumento en los ataques.
A las 12:30 horas del 25/08/2022, no se tienen mas casos de ataques en República Dominicana en el sector público y tampoco en el privado, se insta a permanecer alerta frente a estos ataques y poseer indicadores de compromiso de las campañas de Ransomware vigentes.
Puede visualizar los IOC dando click en este enlace.
