Filtrados datos confidenciales de la empresa pública de minas Hunosa tras un ciberataque

El grupo de ciberdelincuentes Vice Society está publicando datos confidenciales de la empresa pública de minas Hunosa, que forma parte de la Sociedad Estatal de Participaciones Industriales (SEPI). La compañía tiene una importante implantación en el norte de España, especialmente en el Principado de Asturias, donde desarrolla también servicios energéticos. Los datos filtrados incluyen información financiera, listas de deudores, documentos del consejo de administración, del departamento de estrategia e incluso de los servicios sanitarios de los trabajadores, según ha podido comprobar elDiario.es.

Fuentes de la empresa pública reconocen a este medio haber sufrido un ciberataque a finales de 2022 que no se había hecho público hasta ahora. Relacionan estas filtraciones con aquel incidente. “A finales del mes de diciembre se produce un ciberataque afectando a algunos de nuestros los sistemas informáticos. Nuestro Comité de Crisis coordina la gestión del ciberincidente, en colaboración con las autoridades competentes y resto de partes interesadas, y denunciado la situación ante la Policía Nacional”, exponen.

La actividad de Hunosa “no se vio alterada en términos generales” por aquel ciberataque, continúan las mismas fuentes, tras el cual se reforzaron las medidas de seguridad. “La puesta en marcha de un sistema de vigilancia digital proactivo ha permitido a la empresa detectar una exfiltración de información”, añaden. Hunosa ha informado nuevamente a las autoridades de la situación y está “analizando la información publicada para tomar las oportunas medidas de seguridad”

Vice Society es una banda cibercriminal que los especialistas en ciberseguridad localizan en territorio ruso. Según explican en su portal de la deep web, publican los datos de las empresas que atacan cuando estas se niegan a pagarles lo que exigen a cambio de no hacerlo. Hunosa no ha confirmado a elDiario.es si se produjo alguna solicitud de rescate.

Según explican los propios ciberdelincuentes, su actividad comenzó en enero de 2021. En septiembre de 2022 el FBI y la Agencia de Ciberseguridad e Infraestructura de EEUU elevaron una alerta sobre ellos tras detectar un aumento de sus ataques dirigidos en el sector educativo. Vice Society emplea ataques de ransomware, basados en el secuestro de información y de los sistemas informáticos de la víctima. En un inicio emplearon para ello herramientas ofensivas de terceros, compradas a otros grupos de ciberdelincuentes especializados en desarrollarlas. Sin embargo, los investigadores sospechan que en los últimos meses han creado sus propios métodos de cifrado, “más robustos”.

“Es probable que los miembros de Vice Society obtengan el acceso inicial a la red [de sus víctimas] a través de credenciales comprometidas de aplicaciones conectadas a Internet”, explica la alerta estadounidense. “Antes de desplegar el ransomware, los ciberdelincuentes dedican tiempo a explorar la red, identificar oportunidades para aumentar los accesos y filtrar datos con fines de doble extorsión, una táctica mediante la cual los ciberdelincuentes amenazan con divulgar públicamente datos confidenciales a menos que la víctima pague un rescate”, detalla.

Vice Society ha atacado “desproporcionadamente” objetivos del sector educativo, pero también ha comprometido a compañías privadas de otros campos. “Tenemos pruebas de que el grupo también se dirige al sector manufacturero, lo que significa que tienen la capacidad y el deseo de penetrar en diferentes industrias, probablemente a través de la compra de credenciales comprometidas en canales clandestinos”, revela un reciente informe de la firma de ciberseguridad Trend Micro. “Hemos detectado la presencia de Vice Society en Brasil (afectando principalmente a la industria manufacturera del país), Argentina, Suiza e Israel”, avisa.

Se trata del tercer ciberataque grave que sale a la luz en España en apenas diez días. El 5 de marzo los sistemas informáticos del Hospital Clínic de Barcelona quedaban paralizados por otra ofensiva de tipo ransomware, del que aún no se han recuperado por completo. Cinco días después era el despacho de abogados Sagardoy, uno de los más importantes en el ámbito laboralista, el que sufría las amenazas de otro grupo de ciberdelincuentes, que le dieron 10 días para pagar antes de publicar sus datos confidenciales. La amenaza desapareció del portal de la deep web de los cibercriminales tras unas horas.