Certains pirates prétendent avoir volé des données à l’Agence fiscale et celle-ci répond qu’elle n’a détecté aucune violation | Technologie

La société de cybersécurité Hackmanac, spécialisée dans l’analyse des menaces depuis 13 ans, a publié le kidnapping présumé (rançongiciel) les données du Agence fiscale espagnole (AEAT) via un programme d’extorsion appelé Trinity. Comme le rapporte le réseau X, les criminels exigent 38 millions de dollars en échange de données totalisant 560 Go, soit la capacité d’un disque dur moyen. La date limite pour empêcher la publication d’informations prétendument volées est le 31 décembre. L’entité gouvernementale espagnole a nié l’attaque et a informé du fonctionnement normal de tous les services. “Aucune indication d’un éventuel équipement crypté ou d’une sortie de données n’a été détectée”, dit-il.

Hackman n’a pas fourni plus d’informations que la publication dans X de la capture d’écran de l’extorsion publiée dans le Web sombrela zone d’Internet inaccessible aux moteurs de recherche conventionnels et caractérisée par l’utilisation de réseaux anonymes pour masquer l’identité de l’utilisateur et la localisation du site. Elle est souvent associée à des activités illégales.

L’Administration fiscale a assuré qu’elle “évaluait la situation, qui reste sous surveillance”, mais que, jusqu’à présent, elle n’a identifié aucune lacune.

Trinity est un programme d’enlèvement et d’extorsion dirigé en particulier contre des infrastructures critiques, telles que des hôpitaux ou des centres de gestion économique et administrative. Ce programme utilise plusieurs méthodes d’attaque pour infiltrer et prendre le contrôle des systèmes ou voler des informations : de faux e-mails qui semblent provenir d’une entreprise (phishing), pages malveillantes et exploitation de vulnérabilités de programmation.

Selon le Centre de sécurité américain HC3Il rançongiciel Trinity est un acteur menaçant relativement nouveau, similaire à 2023Lock et Venus, qui utilise l’algorithme de cryptage ChaCha20. Les fichiers cryptés portent l’extension « .trinitylock ».

Le ransomware Trinity a été aperçu pour la première fois en mai 2024 et a été détecté dans au moins sept entités aux États-Unis, principalement des centres de santé. Lors de l’installation, le programme commence à collecter des détails sur le système tels que le nombre de processeurs, les threads disponibles et les lecteurs connectés pour optimiser vos opérations de chiffrement multithread. Il tente ensuite d’augmenter vos privilèges en usurpant les informations d’identification pour un processus légitime. Cela vous permet de contourner les protocoles de sécurité et les protections. De plus, il effectue une analyse du réseau et des mouvements latéraux, indiquant sa capacité à propager et à mener des attaques sur plusieurs systèmes sur un réseau spécifique. Il n’existe actuellement aucun outil de décryptage disponible pour le détournement de Trinity, laissant aux victimes peu d’options de récupération.