De datos financieros confidenciales a información fiscal: en el ataque a una empresa socia de la administración federal, los ciberdelincuentes robaron datos particularmente confidenciales. Lo que desapareció exactamente no está claro en este momento.
El miércoles por la noche, el grupo de hackers Play publicó más de 900 gigabytes de datos en la dark web.
La administración federal continúa luchando contra los ataques de TI. Además del ataque a gran escala contra el parlamento en el período previo al discurso del presidente ucraniano Volodymyr Zelensky, el gobierno federal ahora está luchando contra un ataque mucho más serio: el 23 de mayo, se supo que se habían robado datos del Xplan empresa. Desde entonces, las investigaciones internas del gobierno federal han estado en pleno apogeo. Debido a que la empresa Xplain es un proveedor de servicios de TI que se especializa principalmente en el desarrollo de soluciones de software para las autoridades, muchas unidades sensibles de la administración federal también se encuentran entre los clientes de la empresa en cuestión.
La banda de ransomware Play está detrás del ataque. Actualmente es uno de los grupos de cibercrimen más activos a nivel mundial, especializado en robo de datos y extorsión. Varias instituciones en Suiza, incluido, por ejemplo, el municipio de Saxon en el oeste de Suiza, los medios de comunicación NZZ y CH Media y también la empresa de energía Energie Pool Schweiz han sido víctimas de sus ataques recientemente.
900 gigabytes de datos en la dark web
Así que ahora el gobierno federal también se ha convertido indirectamente en víctima del juego. el 14 de junio confirmó el Departamento Federal de Finanzas, que también se ven afectados varios “datos operativos” de autoridades y organismos. Lo que las autoridades quieren decir exactamente con el término «datos operativos» probablemente se aclarará en los próximos días. Porque los ciberdelincuentes realmente implementaron su amenaza: el miércoles por la noche, el grupo de hackers Play publicó más de 900 gigabytes de datos en la dark web, lo que probablemente incluye todo el conjunto de datos robados. En la jerga técnica, es por lo tanto un «volcado completo». Hasta el momento sólo se habían publicado fragmentos del mismo.
El grupo de hackers informa que los datos publicados contendrían «datos confidenciales privados y personales, información financiera, fiscal e información privada de los clientes». Para confirmar esto y determinar si la publicación podría tener implicaciones más amplias para la administración federal, los datos deben ser vistos y analizados. Hasta el momento, el Centro Nacional de Seguridad Cibernética (NCSC) no ha comentado sobre los datos publicados. Cuando se les preguntó, dijeron que estaban esperando que todos los conjuntos de datos se descargaran por completo.
Sistema con datos biométricos
Sin embargo, las investigaciones iniciales de la NZZ muestran que se ve afectada una amplia gama de datos de varias organizaciones dentro y fuera de la administración federal. Las muestras vistas hasta ahora contenían principalmente documentación y varias especificaciones relacionadas con el desarrollo de software: por ejemplo, hay archivos de registro e informes de error del sistema federal introducidos recientemente en 2020, que se utilizan para capturar datos biométricos como huellas dactilares, firmas y se utilizan imágenes faciales.
También hay numerosos planes de proyecto, catálogos de requisitos e instrucciones de instalación de varias empresas relacionadas con el estado, como la policía de transporte SBB y software para una policía municipal. Por lo tanto, los datos examinados hasta ahora pueden ser de gran interés para personas con conocimientos especializados en el campo de los sistemas de seguridad. Los directorios personales de los empleados de Xplain también están en Darknet; sin embargo, no se incluyeron previamente otros datos personales en los datos examinados. Sin embargo, esto fue solo una muestra.
Las aclaraciones posteriores son prolongadas y exigentes. El reto es, por un lado, la enorme cantidad de datos. La cantidad de datos publicada es de casi 1 terabyte. Asegurar y buscar a través de esta enorme cantidad de datos requiere paciencia adicional en este tedioso proceso: la conexión al servidor es lenta y sigue cayendo. Probablemente tomará alrededor de una semana obtener una imagen precisa de la extensión. Lo que ya está quedando claro, sin embargo, es que el número de ciberataques a empresas, administraciones y medios de comunicación está aumentando rápidamente.
Colaboración: Christof Forster