El grupo de hackeo Rhysida, al cual se le atribuyó el ciberataque a la Dirección General de Migración de la República Dominicana no solo ha atentado contra este país sino también en otras naciones de América y Europa.
Desde su surgimiento el grupo tuvo predilección por objetivos en Latinoamérica. Su primer ataque de alto perfil fue contra entidades públicas de Chile y Argentina, en junio y agosto del 2023, respectivamente. También se cuentan entre sus ataques varios objetivos en Europa y Estados Unidos, entre otros.
Durante su ataque a la red del Ejército de Chile el 27 de mayo de este año la red quedó aislada tras la infracción y los expertos en seguridad militar iniciaron el proceso de recuperación de los sistemas afectados.
Tras este ataque, «El ransomware Rhysida publicó alrededor de 360.000 documentos del ejército chileno (y según ellos, es sólo el 30%)», dijo el investigador de seguridad de CronUp, Germán Fernández.
La banda de ransomware Rhysida se describe a sí misma como un «equipo de ciberseguridad» que tiene como objetivo ayudar a las víctimas a proteger sus redes, y Malware Hunter Team la detectó por primera vez el 17 de mayo de 2023.
Desde entonces, el grupo de ransomware ya ha añadido ocho víctimas a su sitio de filtración de datos en la web oscura y ha publicado todos los archivos robados de cinco de ellas.
Ataques al PAMI en Argentina
Otro ataque realizado por esta cibermafia ransomware Rhysida fue la realizada al Programa de Atención Médica Integra de Argentina, mejor conocido como PAMI, entidad que extorsiono pidiendo 25 bitcoins, que equivalen a cerca de 734 mil dólares, y le dieron un poco más de tres días para pagar. De lo contrario, publicarán los datos.
Los ciberdelitos realizados por el grupo que hackeó Rhysida son una técnica extorsiva que creció de manera sustancial durante estos últimos años.
Le recomendamos leer
En la gran mayoría de los casos, cuando las víctimas no pagan, los ciberdelincuentes publican los datos para ejercer una segunda extorsión: es lo que le pasó a empresas como OSDE el año pasado y a entidades como la Comisión Nacional de Valores, hace apenas unos meses.
En la previsualización de archivos en la dark web se pueden ver documentos de personas, que podrían ser de empleados o de afiliados al PAMI. Un dato que destaca tiene que ver con el monto abultado que piden en comparación con otras víctimas listadas, a las que les pedían entre 2 y 6 BT (58.653 y 175.960 dólares).
Otros países afectados por Rhysida
Es necesario resaltar que Rhysida, como lo denominaron, utiliza varios subprocesos para comprometer archivos y directorios, empleando una combinación de algoritmos RSA y AES para el cifrado de datos. Una vez ejecutado en el sistema, las extensiones de los archivos afectados se habrán cambiado a .rhysida.
Posteriormente, un archivo llamado Critical Breach Detected.pdf se abrirá en el sistema, alertando del ataque.
Entre los países que han sido víctimas de este modo operandi están Brasil, China, Israel, Estados Unidos y en su más reciente ataque República Dominicana. Siendo el más afectado Brasil con más de 30 detecciones.
