Más de un año después de que las agencias federales encargadas de hacer cumplir la ley sufrieran un importante ataque de ransomware, Hunters International Ransomware Group filtró lo que afirma son 386 GB de datos del Servicio de Alguaciles de EE. UU. (USMS).
Según HackManac, los datos de la pandilla constan de más de 327.000 archivos, incluidos documentos “ultrasecretos”, archivos de pandillas, información sobre casos en curso y la operación antidrogas de 2022 “Operación Turnbuckle”. “. Según HackManac, que publicó capturas de pantalla de las afirmaciones de la pandilla en la plataforma de redes sociales X.
Hunters International dijo que publicaría los datos si no se pagaba el rescate antes del 30 de agosto. Sin embargo, un portavoz del USMS dijo a SC Media que los datos no parecen provenir de un nuevo ataque.
“El USMS está al tanto de las acusaciones y, después de evaluar el material publicado por el individuo en la web oscura, no parece provenir de un incidente nuevo o no revelado”, dijo la agencia en un correo electrónico a SC Media.
USMS reveló previamente un incidente de ransomware a gran escala en febrero de 2023, que implicó la recopilación de datos de devolución de procesos legales, datos administrativos, identificación personal de empleados de USMS, sujetos de investigación y terceros. Se dice que afectó a los sistemas que contienen información (PII). ).
Los funcionarios dijeron que los datos del Programa de Protección de Testigos no se vieron afectados por el ataque y que la violación no interrumpió las operaciones de la agencia, pero la agencia todavía estaba trabajando en la recuperación en mayo de 2023.
El actor de la amenaza detrás del ataque de 2023 no ha sido revelado y no hay evidencia de que algún grupo de ransomware haya reivindicado la responsabilidad o haya comprometido datos de USMS antes de la publicación de Hunters International.
Un artículo publicado en un foro ruso sobre cibercrimen en marzo de 2023 anunciaba la venta de 350 GB de datos USMS por 150.000 dólares, pero Hackread dijo que la publicación fue realizada por una cuenta de un día de antigüedad y que la supuesta Se señaló que no se incluían muestras de datos. La publicación no mencionó el ransomware y afirmó que la base de datos robada contenía información del Programa de Seguridad de Testigos.
Según Barracuda, Hunters International apareció por primera vez en el mundo del ransomware en octubre de 2023, mucho después de que se confirmara el ataque de ransomware a USMS. Los investigadores de ciberseguridad han vinculado a Hunters International con la campaña de ransomware Hive. Hive fue disuelto por las fuerzas del orden en enero de 2023, pero Hunters afirma que no cambió el nombre del grupo disuelto, sino que compró el código fuente y la infraestructura de Hive.
A menos que veamos un nuevo ataque de ransomware en el USMS o Hunters International antes de octubre de 2023, no quedará claro si los datos del rescate son reales o de dónde los obtuvo el grupo criminal.
Sin embargo, la debacle de Change Healthcare muestra que no es raro que los datos robados caigan en las manos equivocadas o se utilicen para mayores esfuerzos de extorsión. En ese caso, RansomHub contrató a un asociado descontento de la banda disuelta ALPHV/BlackCat, que utilizó los datos proporcionados por el asociado para extorsionar por segunda vez a una empresa de atención médica.
Las víctimas de ransomware suelen ser víctimas nuevamente de grupos de ransomware, pero el riesgo de un segundo ataque es mayor dentro de los tres meses posteriores al primero, según el informe de Akamai.
https://packetstormsecurity.com/news/view/36264/Hunters-International-Ransomware-Gang-Threatens-To-Leak-US-Marshals-Data.html
