El grupo de ciber criminales conocidos como BlackByte reclamo la responsabilidad por el ataque que sufrió la ciudad de Augusta, en Georgia. Ahora el grupo ha posteado una muestra gratis de 10GB de la información recolectada en el ataque y alega tener mucha más información que pondrá a la venta.
Según el comunicado que hizo BlackByte. Los atacantes tendrían una gran cantidad de información sensible. En el comunicado también se remarca las provocaciones del grupo criminal como “mucha gente también estaría interesada en ver esta información, a través de los medios”. Esto sería la respuesta del grupo luego de no recibir respuesta alguna sobre la nota de rescate posterior al cifrado de la información. Según lo demuestra la captura de pantalla compartida por el investigador Brett Callow.
En otro post hecho por el grupo de actores maliciosos, BlackByte presentaba los links para ingresar a la información que hace parte de los 10GB filtrados, a su vez mencionan que pronto liberarían más información de manera gratuita.
Augusta in la segunda ciudad más grande de Georgia, con una población metropolitana arriba de 611,000 habitantes. La ciudad de Augusta informó que el inicio de las dificultades técnicas fue el 21 de mayo de 2023, el cual era producto de un acceso no autorizado a sus sistemas.
Tras el secuestro de la información, diferentes medios de comunicación reportaban que el grupo de actores maliciosos pedían un rescate de 50 millones de dólares, lo que posteriormente fue desmentido por el alcalde de la ciudad Garnett Johnson a través de su cuenta oficial en Twitter.
A su vez que mencionaba que el departamento de tecnología de Augusta seguía con las investigaciones pertinentes, y así determinar el impacto verdadero del ataque en los sistemas, y así restaurar la funcionalidad completa de estos.
Información filtrada
Según una investigación sobre los 10GB de información liberada, se pudo observar que esta incluía información como nóminas de pago, detalles de contacto, información personal de identificación (PII), direcciones físicas, contactos, datos sobre la asignación presupuestaria de la ciudad y entre otros. Sin embargo, no se pudo verificar el origen y autenticidad de esta información.
BlackByte
Se ha determinado que el grupo de actores maliciosos denominado BlackByte es originario de Rusia, los cuales ofrecen servicios de ransomware-as-a-service y cullas operaciones empezaron, alrededor de julio de 2021, apuntando a víctimas corporativas alrededor del mundo.
Este grupo es muy bien conocido por su modus operandi de doble extorción, que como su nombre lo indica, busca que la víctima pague dos veces, una vez para descifrar todos los archivos cifrados por parte del binario de ransomware, es decir, a cambio de la clave de descifrado y un segundo pago para evitar que los actores maliciosos filtren cualquier información en la web. Para el caso actual, el rescate solicitado para borrar la información robada es de 400,000 dólares. El grupo BlackByte también vende la información a terceros, interesados, por 300,000 dólares.
Ciudades siendo atacadas por ransomware
Se ha observado un reciente incremento en los ataques de ransomware, dirigidos a ciudades. Entre estas ciudades, se puede mencionar la ciudad de Oakland, California, quienes anunciaron el 10 de febrero de 2023 haber sido afectados por un ataque de ransomware, lo cual dejo fuera de funcionamiento varios sistemas.
Cuatro días luego del suceso, Oakland declaraba un estado de emergencia para hacer frente al amplio impacto del incidente, el cual dejó sin funcionamiento todos los sistemas telefónicos de la ciudad, al igual que muchos otros servicios no urgentes.
Como otro ejemplo de las ciudades más recientes, atacadas por ransomware, se encuentra Dallas, Texas a inicios de mayo de 2023, donde se vieron comprometidos varios sistemas de la ciudad, entre esto, el departamento de policía de Dallas. Donde, según informes, los sistemas computacionales que procesan registros para el departamento de Servicio de Detención y Tribunales de Dallas habían caído desde las 6 a.m. del miércoles.
