Los estudiantes y miembros del personal de la Universidad de Manchester, que fue afectada por un ataque cibernético a principios de junio, están recibiendo correos electrónicos del actor de amenazas detrás del incidente que amenaza con vender o exponer sus datos personales de manera inminente si no se paga un rescate.
En el correo electrónico, del cual Computer Weekly obtuvo y revisó una copia, el actor de amenazas dijo: “Nos gustaría informar a todos los estudiantes, profesores, administración y personal que hemos pirateado con éxito la red manchester.ac.uk. [sic] el 6 de junio de 2023.
“Hemos robado 7 TB de datos, incluida información personal confidencial de estudiantes y personal, datos de investigación, datos médicos, informes policiales, resultados de pruebas de drogas, bases de datos, documentos de recursos humanos, documentos financieros y más…. La administración es plenamente consciente de la situación y ha estado hablando con nosotros durante más de una semana”, dijeron los chantajistas.
“Ellos, sin embargo, valoran el dinero por encima de la privacidad y seguridad de sus estudiantes y empleados. No les importa usted ni que TODA su información personal y trabajo de investigación pronto se venderá y/o se hará público”.
El actor de amenazas también nombró a varios miembros del personal académico superior, incluido el registrador y director de operaciones de la universidad, Patrick Hackett, quien fue la cara pública de las comunicaciones iniciales de la universidad después del incidente, y los acusó de ser responsables de la situación.
Algunos estudiantes informaron haber recibido un correo electrónico diferente en el que el actor de amenazas supuestamente les ofrece la oportunidad de pagarles “una pequeña tarifa” para que no revelen sus propios datos. La veracidad de esta comunicación, o su conexión con el incidente, no ha sido confirmada.
Los correos electrónicos parecen confirmar que la universidad, o un negociador externo especializado que represente sus intereses, ha estado en contacto con la pandilla, pero también implica que no se pagó ningún rescate.
La escalada posterior de la banda de ransomware refleja el crecimiento de los llamados ataques de ransomware de triple extorsión. El ingeniero de seguridad líder de Check Point, Muhammad Yahya Patel, dijo que el aumento de esta forma de ataque refleja no solo la mayor sofisticación del ecosistema ciberdelincuente, sino también su determinación de recibir pagos.
“Las pandillas de ransomware generalmente estaban menos organizadas que otros grupos hasta hace un par de años. Ahora se están volviendo mucho más considerados y firmes en su enfoque, explotando vulnerabilidades a gran escala y ejecutando doble y triple extorsión para resolver sus demandas”, dijo Patel.
En pocas palabras, un ataque de triple extorsión es una escalada de un ataque de doble extorsión, en el que los datos se cifran, roban y filtran para que sea más probable que la víctima pague. En un incidente de triple extorsión, presiona a la víctima para que pague añadiendo una tercera dimensión a su dilema.
Esta tercera capa puede tomar diferentes formas, pero puede incluir un ataque de denegación de servicio distribuido (DDoS) en la red de la víctima para desconectarla o, en este caso, ponerse en contacto con los empleados, usuarios finales o incluso clientes de la víctima, y amenazar para ejercer presión sobre la víctima.
La identidad de la operación de ransomware detrás del ataque aún no se ha revelado. Sin embargo, la Universidad de Manchester ha afirmado que no está vinculada a la victimización masiva en curso de los clientes de MOVEit por parte de la pandilla Clop.
Un portavoz de la universidad dijo: “Después de nuestro informe de un incidente cibernético a principios de este mes, somos conscientes de que algunos miembros del personal y los estudiantes han recibido correos electrónicos que pretenden ser de quienes están detrás. Todo el personal y los estudiantes deben tener cuidado con la apertura de correos electrónicos sospechosos o intentos de phishing, e informarlos a los servicios de TI. No deben responder bajo ninguna circunstancia.
“Nuestros expertos internos y el soporte externo están trabajando las 24 horas para resolver este incidente y comprender a qué datos se ha accedido. Nuestra prioridad es resolver este problema y dar información a los afectados tan pronto como podamos, y estamos concentrando todos los recursos disponibles.
“Si se identifica personal o estudiantes que hayan sido afectados personalmente por este incidente, serán contactados a través de los canales de la universidad”.
La universidad también recomienda al personal y a los estudiantes que estén alerta ante la posibilidad de correos electrónicos de phishing y otros actores maliciosos que intentan explotar la situación. Ha producido preguntas frecuentes, a las que se puede acceder aquí, y que también incluye orientación para A-Level y otros futuros estudiantes.