Everest es un grupo de cibercriminales que mediante la modalidad ransomware asegura haber colectado información sensible del gobierno argentino. Esta información está a la venta en su blog de la dark web por 200 mil dólares y estaría formada por accesos a sistemas de dependencias del Estado.
En la página oficial del grupo informaron que poseen esta información, sitio al que se accede usando navegadores como Tor, diseñado para entrar a la dark web. Everest ya atacó otros sitios estatales como el de la Policía de Brasil, el Ministerio de Economía y Finanzas de Perú y el gobierno de Estados Unidos.
El ransomware es un ataque informático que se utiliza para secuestrar datos, ya que ransom en inglés significa rescate, y ware es un acortamiento de la palabra software. El ransomware es un subtipo del malware, acrónimo de "programa malicioso" (malicious software).
Javier Smaldone, especialista en seguridad informática, encontró una conexión local: la persona que filtró los datos del Renaper en octubre pasado.
"El mismo que filtró los datos del padrón de IOSFA y de 60.000 personas del RENAPER (y decía tener los de los 45 millones), estaba vendiendo acceso a redes y sistemas del Estado argentino. El delincuente, que se identifica como [S], dice ser el mismo que atacó en 2017 a Patricia Bullrich y el Ministerio de Seguridad y en 2019 a la Policía Federal Argentina, según una nota que dio al medio Rosario 3", recordó.
Este usuario publicó en un foro que poseía accesos a la red del gobierno argentino. Esto es una parte de las actividades que realiza Everest: "Estas bandas criminales como el Everest Ransomware Team venden no solo datos que roban mediante ransomware, sino también acceso a redes y sistemas que compran en el mercado negro", agregó.
"Por acceso a sistemas de la Policía de Brasil piden 50 mil dólares. Por accesos al Ministerio de Economía de Perú, piden 30 mil. Considerando que por los accesos a redes y sistemas de la Argentina piden 200 mil dólares, debe tratarse de algo bastante importante", aseguró Smaldone.
Según algunos medios, el Gobierno está investigando el hecho y qué información habría sido robada y como es bien sabido, no es la primera vez que el Estado argentino sufre un ataque informático. El año pasado, un grupo internacional de ciberdelincuentes conocido como Netwalker logró acceder a la Dirección Nacional de Migraciones y sustraer una enorme base de datos con datos privados de ciudadanos y registros de movimientos migratorios.
Este año, desde un blog que ni siquiera es accesible en la deep web, sino desde cualquier conexión hogareña, un usuario subió información sobre datos de documentos de identidad robados desde el Renaper, mediante un acceso no autorizado.
Dentro de las otras bandas que existen como Netwalker o REvil, Everest se caracteriza por la magnitud de sus golpes: juegan lo que se conoce como "Big Game Hunting", teniendo en su haber de víctimas no sólo entidades gubernamentales sino reconocidos estudios de abogados e individuos de "alto perfil".
Su nombre proviene del código fuente que utilizan en sus ataques, y ya se lo conocía desde 2018 bajo el nombre de Everbe, identificado por McAfee.
Según su sitio web ellos se describen como:
"El equipo de Everest se dedica a recolectar y analizar información de clientes y sus compañías. Nos especializamos en datos privados de clientes, información financiera, bases de datos, información de tarjetas de crédito y más. Las compañías no pueden entender el riesgo de las filtraciones de información, especialmente información privada. Estas filtraciones llevan a pérdidas para las compañías, multas y disputas legales. Y no hay que olvidar que la información puede caer en las manos de competidores. Cuando se contratan a terceras partes negociadoras, escuchen lo que les digan, traten de pensar: ¿están realmente interesados en resolver sus problemas o están simplemente pensando en sus beneficios económicos y ambiciones?"
"No está claro si Everest es responsable de los hackeos, si actúa como intermediario de datos, si los extrae de otros vertederos o si se trata de una combinación de ambas cosas. En un caso reciente, la banda se negó a proporcionar muestras de los datos supuestamente robados a alguien que pretendía ser un comprador. El sitio de filtración no parece estar vinculado a ningún tipo conocido de ransomware de cifrado de archivos", advirtió en una entrevista Brett Callow, especialista en ciberseguridad de la compañía Emsisoft.
Su aviso tiene que ver con que en otros casos los cibercriminales proporcionan una prueba de que tienen acceso a la información. En este caso, Everest simplemente dejó un correo electrónico para ser contactado e iniciar las negociaciones para vender los datos o, en última instancia, para que el Gobierno recupere los accesos, según informó Clarín.