De acuerdo con una publicación en su sitio de la deep web, RansomHub logró la exfiltración de más de 3 terabytes de datos confidenciales. Aunque OMA había admitido públicamente el incidente, asegurando que sus operaciones no se habían visto gravemente afectadas, la situación escaló debido a la amenaza directa de los atacantes.
Según lo publicado, el grupo obtuvo acceso completo a la infraestructura de TI de OMA, encriptando datos críticos y exfiltrando una gran cantidad de información sensible que incluye informes financieros, documentos de ventas, contabilidad, e información de accionistas.
Asimismo, los ciberdelincuentes no se limitaron a la información corporativa, sino que también comprometieron datos personales de empleados, inversionistas y clientes.
Entre los archivos filtrados se encuentran direcciones, contactos, escaneos de pasaportes y correspondencia interna confidencial. Incluso se mencionan datos altamente sensibles como contraseñas, credenciales de acceso y bases de datos SQL que contienen información crítica para las operaciones de la compañía.
El Grupo Aeroportuario Centro Norte (OMA) administra 13 aeropuertos en México, entre los cuales se encuentran los de Monterrey, Acapulco, Mazatlán, Zihuatanejo, Chihuahua, Ciudad Juárez, Culiacán, Durango, San Luis Potosí, Tampico, Torreón, Zacatecas y Reynosa. Estos aeropuertos son clave para el tráfico aéreo en la región centro-norte del país y desempeñan un papel fundamental en la conectividad nacional e internacional.
Según un comunicado emitido previamente, la empresa ha estado operando con sistemas alternativos y de respaldo, mientras colabora con expertos en ciberseguridad para realizar una investigación forense del ataque y sus implicaciones.
Los ciberdelincuentes han dado a OMA una fecha límite para pagar un rescate: el 2 de noviembre de 2024. De no cumplirse con esta demanda, RansomHub amenazó con liberar públicamente todos los datos robados, comenzando con notificar a los competidores e inversionistas de OMA. La empresa financiera BlackRock sería la primera en ser contactada, según la declaración de los atacantes.
En su publicación, RansomHub reveló que ya se han compartido fragmentos de los datos robados como muestra de la seriedad de sus amenazas; sin embargo, la mayoría de la información sigue sin divulgarse, lo que les permite mantener la presión sobre OMA en esta extorsión.
El contenido exfiltrado no solo incluye información financiera y comercial, sino también evaluaciones y acuerdos confidenciales entre la empresa y sus clientes.
De acuerdo con las publicaciones de RansomHub, la información robada también involucra comunicaciones con terceros, como firmas de ciberseguridad de renombre, entre ellas Hold Security y HSTechnology. Esto sugiere que OMA ya había estado en contacto con expertos en ciberseguridad antes del ataque, pero que, a pesar de las precauciones, los hackers lograron infiltrarse en su sistema.
“Un aspecto especialmente preocupante es que el grupo afirma tener pruebas de que algunos empleados de OMA colaboran con cárteles criminales, información que también amenazan con hacer pública”
No hay comentarios:
Publicar un comentario