Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, cifrado de datos y habrían pedido un rescate por ello.

"La Agencia Tributaria (AEAT), el servicio de recaudación del Reino de España y encargado de gestionar los sistemas tributarios y aduaneros nacionales, ha sido víctima del ransomware Trinity. El grupo afirma haber obtenido 560 GB de datos de la organización y pretende publicarlos el 31 de diciembre de 2024",

Esta falta de detalles concretos sobre la información sensible implicada, como datos personales, financieros o de identificación y la falta de confirmación por parte de la Agencia Tributaria, hace que, de momento, no se pueda verificar la veracidad del ataque.

Sin embargo, este tipo de filtraciones en la dark web no son infrecuentes, y suelen ser un indicador de vulnerabilidades en sistemas de seguridad. La comunidad cibernética sigue de cerca este caso, esperando más actualizaciones que puedan arrojar luz sobre la verosimilitud del ataque.

Se sospecha que la entidad afectada es Rocky Mountain Gastroenterology, que figura en el portal de filtraciones de Trinity, donde el grupo afirma haber sustraído 330 GB de información.

En agosto, Trinity anunció haber robado 3.63 TB de datos de Cosmetic Dental Group en las Islas del Canal y amenazó con hacer públicos esos datos en septiembre.

El portal de filtraciones de este grupo también menciona a un bufete de abogados en Florida y Georgia, y ha reclamado ataques a organizaciones en el Reino Unido, Canadá, China, Filipinas, Argentina y Brasil.

¿Cómo operan?

Al igual que muchas bandas de ransomware actuales, Trinity primero roba datos sensibles antes de cifrar los archivos de la víctima y luego amenaza con filtrar dicha información si no se paga el rescate. Esto incrementa la presión sobre las organizaciones afectadas y la probabilidad de que se sometan a las demandas de los extorsionadores.

Se cree que los delincuentes obtienen acceso inicialmente al explotar vulnerabilidades en software desactualizado, enviando correos electrónicos de phishing con archivos adjuntos maliciosos o comprometiendo puntos finales de protocolo de escritorio remoto (RDP) con credenciales débiles o robadas. En esencia, utilizan tácticas similares a las de otros criminales para ingresar a las redes de sus víctimas.

El ransomware Trinity se vio por primera vez en mayo de 2024 y ha sido detectado en al menos siete entidades de Estados Unidos, principalmente centros de salud. Tras la instalación, el programa comienza a recopilar detalles del sistema, como el número de procesadores, los subprocesos disponibles y las unidades conectadas para optimizar sus operaciones de cifrado multihilo. A continuación, intenta escalar sus privilegios suplantando las credenciales para un proceso legítimo. Esto le permite evadir los protocolos de seguridad y las protecciones. Además, realiza un escaneo de la red y un movimiento lateral, lo que indica su capacidad para propagarse y llevar a cabo ataques a través de múltiples sistemas en una red específica. Actualmente no hay herramientas de descifrado disponibles para el secuestro mediante Trinity, lo que deja a las víctimas con pocas opciones de recuperación.

Según el centro de seguridad estadounidense HC3, El ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados se etiquetan con la extensión “.trinitylock”.