Que una gran empresa, como es el caso de ADIF, sufra un ataque de ransomware no es algo extraño. En realidad es algo común, hasta el punto de que es rara la semana en la que no hablamos de, como mínimo, un caso. Sin embargo, es menos común que nos toquen tan de cerca como en este caso. Y es que recordemos que hablamos de una empresa pública, que depende del Ministerio de Transportes, Movilidad y Agenda Urbana, y cuya responsabilidad es la gestión del tejido ferroviario de nuestro país, un elemento clave de las infraestructuras públicas españolas.
Y es que la cuenta de Twitter Ransom Leaks ha publicado esta tarde un tweet en el que afirma que ADIF ha sido víctima de un ataque de ransomware por parte del grupo REvil, que durante los últimos meses se está mostrando particularmente activo, y en el que habrían logrado exfiltrar 800 gigabytes de datos de la gestora de infraestructuras. De momento se desconoce si el ataque se ha limitado al robo de datos o, por el contrario, también se ha procedido al cifrado de los originales, lo que podría tener una enorme incidencia en la operativa de la gestora.
El ataque habría sido confirmado por ADIF al diario online El Confidencial y, según la respuesta dada por la gestora a este medio, ya habría sido controlado por sus servicios de seguridad y, según indican, no ha afectado en modo alguno a las infraestructuras operadas por la sociedad pública. También afirman ser conscientes de la importancia de la ciberseguridad, por lo que será interesante saber cómo se ha perpetrado el ataque con Sonidokibi, si es que se llega a revelar dicha información en algún momento.
Nada se sabe de las exigencias por parte de REvil a ADIF, si bien es evidente que serán de índole económica. Tampoco se sabe nada de si se ha establecido alguna negociación entre la gestora y los ciberdelincuentes. En la imagen proporcionada en el tweet de Ransom Leaks, REvil dice que su operación todavía está activa. Afirman que van a empezar un tercer ataque, lo que se podría traducir en el cifrado de toda la información ya robada, algo que sí que podría tener, eventualmente, efectos en la operativa de la gestora.
Buenas tardes! #Sodinokibi/#REvil claimed Adif as a victim and threatened to attack a 3rd time and to leak 800gb of data.
Administrador de Infraestructuras Ferroviarias (Adif) is one of the main corporations tasked with the railroad sector of Spain.
13,761 employees
8B revenue pic.twitter.com/d9sxXiwGBP— Ransom Leaks (@ransomleaks) July 22, 2020
No obstante, las declaraciones en las que se afirma que el ataque ha sido controlado son posteriores a la publicación del ataque. Cabe esperar, por tanto, que la fuga haya sido cerrada y, sobre todo, que se hayan tomado todas las medidas necesarias para impedir que Sodinokibi pueda comenzar a cifrar archivos. Sin embargo, este punto tampoco está nada claro todavía, por lo que de momento solo queda confiar en que los profesionales que están trabajando ahora mismo en ADIF para enfrentar el problema sean capaces de dar por finalizado el ataque.
También, sin duda, cabe esperar que al ser ADIF una empresa pública, la transparencia sobre lo ocurrido, una vez llegado el momento, sea absoluta. Cabe esperar, quizá, que se convierta en otro elemento de confrontación política, aunque personalmente pienso que eso aporta bastante poco, y lo que verdaderamente me gustaría llegar a saber es cómo ha tenido lugar el ataque, la naturaleza de los datos robados y, por supuesto, si finalmente se ha pagado por el rescate de los mismos.
La entrada ADIF, víctima de un ataque de ransomware de REvil es original de MuySeguridad. Seguridad informática.