El Ministerio de Defensa de Paraguay ha lanzado una advertencia urgente sobre la creciente amenaza cibernética del virus ransomware Black Hunt, tras un reciente ataque que afectó a la empresa líder de alojamiento y servicios en la nube, Tigo Business. Este incidente, que tuvo lugar la semana pasada, ha dejado a la comunidad empresarial local en estado de alerta, ya que los impactos de este tipo de ataques van más allá de la infraestructura de la compañía afectada.
Tigo Business, una rama del operador móvil más grande de Paraguay, Tigo, se especializa en soluciones comerciales digitales, que incluyen consultoría en ciberseguridad, alojamiento en la nube y soluciones de redes de banda ancha. Sin embargo, el pasado jueves, las empresas que alojan sus sitios web en Tigo Business comenzaron a experimentar interrupciones en sus servicios, lo que inicialmente generó especulaciones sobre un posible ciberataque.
No fue hasta el fin de semana que Tigo confirmó oficialmente el incidente mediante un comunicado. Según el documento, el 4 de enero, la infraestructura de Tigo Business Paraguay sufrió un ataque que afectó la operación de algunos servicios específicos utilizados por un pequeño grupo de clientes. La empresa también aclaró que las afirmaciones inexactas en los medios sobre el alcance del ataque no afectaron a Internet, las comunicaciones telefónicas ni las billeteras electrónicas de Tigo Money.
El comunicado, que posteriormente fue retirado del sitio web oficial, reveló información crucial sobre la naturaleza del ataque. Más de 330 servidores fueron cifrados, comprometiendo también las copias de seguridad. La compañía admitió la magnitud del incidente al tiempo que trató de minimizar las implicaciones, asegurando que la mayoría de las noticias en Internet eran inexactas.
La declaración oficial también señaló que, según informes de ciberseguridad, este incidente está relacionado con un ataque de ransomware perpetrado por el grupo de hackers conocido como Black Hunt. Este grupo, relativamente nuevo en la escena, ha estado activo desde finales de 2022 y se centra principalmente en atacar empresas en América del Sur.
Los modus operandi de Black Hunt son cada vez más sofisticados. Los atacantes ganan acceso a las redes corporativas y se mueven sigilosamente entre dispositivos hasta que adquieren suficientes derechos para lanzar el ransomware. Una vez activado, los cifradores utilizados por Black Hunt eliminan registros de eventos de Windows, instantáneas de volumen, registros de archivos NTFS y desactivan la recuperación de Windows. Además, desactivan Windows Defender, agregan nuevos usuarios, desactivan la Restauración del sistema y bloquean el Administrador de tareas y el comando Ejecutar.
Los archivos cifrados por Black Hunt reciben una extensión específica, [id].[correo electrónico].Hunt2. Además, en cada carpeta afectada, se generan archivos de chantaje con los nombres #BlackHunt_ReadMe.hta y #BlackHunt_ReadMe.txt, que contienen información detallada sobre el ataque y proporcionan un correo electrónico para la comunicación.
Aunque el ransomware afirma en estos archivos que se han robado datos confidenciales, hasta el momento no hay confirmación de tal aseveración. Sin embargo, el Ministerio de Defensa de Paraguay está tomando medidas preventivas y ha instado a las empresas y ciudadanos a fortalecer sus medidas de ciberseguridad, incluyendo la actualización de software, la implementación de firewalls robustos y la realización de copias de seguridad regulares y seguras.
Este incidente subraya la creciente amenaza que representan los ataques cibernéticos, no solo para las empresas privadas sino también para la seguridad nacional. La cooperación entre el sector privado y las autoridades gubernamentales se vuelve cada vez más crucial para hacer frente a estos desafíos emergentes y garantizar la protección de la infraestructura crítica y los datos sensibles.
