Los ciberdelincuentes detrás de un intento de extorsión contra el Puerto de Seattle publicaron el lunes una demanda de rescate de 100 Bitcoin e imágenes de documentos supuestamente robados de la organización.
Las imágenes incluyen lo que parece ser un pasaporte estadounidense escaneado, un formulario de identificación de contribuyente con un número de Seguro Social y otra información de identificación personal. El grupo también exige 100 Bitcoins (aproximadamente 5,9 millones de dólares hasta el lunes) y amenaza con vender los datos si el puerto no paga en un plazo de siete días.
No fue posible localizar de inmediato a un portavoz del Puerto de Seattle para hacer comentarios el lunes. Sin embargo, en un comunicado el viernes desde el puerto de Seattle y el aeropuerto internacional de Seattle-Tacoma, las organizaciones dijeron: “Después de negarse a pagar el rescate exigido, los perpetradores decidieron publicar los datos robados en sitios web oscuros. Existe la posibilidad de que responderá”.
No está claro cuántos datos se robaron en el ataque ni qué tipo de datos se incluyeron. La autoridad portuaria dijo que el incidente fue el resultado de un ataque de ransomware por parte de un grupo llamado “Rhysida”. Rhysida es un servicio de ransomware en el que los delincuentes utilizan plataformas para extorsionar a las víctimas y las ganancias se dividen en última instancia entre los atacantes y los desarrolladores y operadores de la plataforma.
Según la plataforma de investigación de delitos cibernéticos eCrime.ch, la plataforma de Ricida enumera ataques contra organizaciones de todo el mundo, la mayoría de ellas en Estados Unidos. El sitio web del grupo enumera casi 150 víctimas desde que apareció por primera vez en junio de 2023.
“La investigación sobre qué datos obtuvieron los perpetradores está en curso, pero parece que algunos de los datos del puerto se obtuvieron a mediados o finales de agosto”, dijo la organización en un comunicado. “Evaluar los datos obtenidos es complejo y requiere mucho tiempo, pero estamos totalmente comprometidos con este esfuerzo y notificaremos a las partes potencialmente afectadas si nos enteramos de que hemos obtenido información personal, tenemos la responsabilidad de notificarles”.
El puerto dijo que identificó por primera vez una “interrupción del sistema consistente con un ataque cibernético” el 24 de agosto y “trabajó rápidamente para aislar los sistemas críticos”. El puerto dijo que las medidas tomadas como parte de la respuesta y el cifrado implementado por los atacantes han dado como resultado el acceso al equipaje, quioscos de facturación, emisión de boletos, Wi-Fi, señalización para pasajeros, el sitio web del Puerto de Seattle, la aplicación FlySea, algunos Los servicios, como el aparcamiento reservado, quedaron “interrumpidos”.
“Si bien nuestros equipos pudieron volver a poner en línea la mayoría de estos sistemas en una semana, los esfuerzos de recuperación para algunos sistemas, como sitios web externos y portales internos, están en curso”, dijo el puerto. El sitio web principal permanece fuera de línea.
Autor: AJ Vicens AJ cubre las amenazas a los Estados-nación y el cibercrimen. Anteriormente, fue reportera de Mother Jones. Contáctenos en Signal/WhatsApp: (810-206-9411).
Ransomware group releases screenshots in attempted extortion of Port of Seattle
