Cela pourrait être l’intrigue d’un film, le fisc espagnol a jusqu’au 31 décembre, en pleine cloche du réveillon, pour répondre au chantage des un groupe de hackers qui prétendent avoir accédé à votre système et volé 560 Go de données. C’est précisément le groupe qui prétend avoir réalisé ce coup d’État qui s’appelle Trinity, comme le personnage de Matrix qui parvient à pirater le Trésor américain dans le film de 1999. L’AEAT nie cette attaque qui, si elle est confirmée, pourrait augmenter le risque pour les citoyens espagnols. victimes d’une arnaque en ligne dans les prochains mois.
Les cybercriminels ont donné jusqu’au 31 décembre à minuit pour parvenir à un accord avec le Trésor, s’ils souhaitent récupérer les informations volées en échange d’une somme d’argent importante qui n’a pas encore été annoncée. Ils l’ont indiqué sur leur propre portail en ligne disponible uniquement sur le dark web. L’annonce a été partagée par la plateforme Hackmanac, un observateur possédant une vaste expérience des menaces virtuelles.
Pour le moment, c’est la parole de l’AEAT contre celle du groupe Trinity. Les cybercriminels, « ils n’ont publié aucune preuve étayant le kidnapping de données » explique un expert en cybersécurité à EL ESPAÑOL – Omicrono. Plusieurs hypothèses sont actuellement envisagées concernant l’attaque, mais les experts s’accordent à dire qu’elle devrait servir d’avertissement aux contribuables, afin qu’ils prennent d’extrêmes précautions contre tout message de la part de l’AEAT qu’ils recevraient à l’avenir.
Recherche de phishing ciblé
Les 560 Go de données ne représentent pas un chiffre lourd par rapport à la quantité d’informations traitées par l’administration fiscale espagnole, mais L’important n’est pas la quantité, mais la sensibilité des données qui ont pu être extraites. les pirates. José Antonio Izquierdo López, responsable des compétences en cybersécurité de Innovation par NEVERHACKconseille dans une interview à ce journal, de ne pas paniquer.
Le gang n’a donné aucune indication ni explication sur la nature des données volées. La donnée la plus juteuse serait de connaître la liste des défaillants ou les données des procureurs des utilisateurs. Ceux-ci ne seraient pas utilisés immédiatement pour accéder aux comptes bancaires, mais ils Ils sont d’une grande aide pour personnaliser les attaques, créant ainsi des escroqueries plus convaincantes.
Manuel Fernández Omicrono | Arbre PNG
Chaque année, les hackers profitent de moments clés comme la campagne de l’impôt sur le revenu pour escroquer un plus grand nombre de victimes. Avec ces informations, vous pouvez savoir Si un citoyen ou une entreprise a une procédure en cours avec l’agence et attend une notification de l’agence.
« Maintenant, je sais que vous attendez une notification du Trésor, et je vous envoie un Whatsapp ou un SMS très bien dessiné », explique José Antonio Izquierdo. Pour cette raison, il est important d’examiner les messages qui arrivent, de ne pas utiliser de liens ou de télécharger des documents qui n’ont pas été demandés et d’être toujours vigilant ; prenez ces mesures comme une habitude.
L’Administration prévient fréquemment que ses institutions n’envoient pas de notifications dans lesquelles un certain type d’action doit être effectuée, comme payer une amende, elles sont uniquement informatives. Après Le citoyen doit se rendre seul aux bureaux, appeler par téléphone ou accéder au service en ligne. fonctionnaire correspondant.
Une attaque sans preuve
Ce type d’annonces émanant des cybercriminels eux-mêmes revendiquant une attaque ou annonçant la vente de données volées est généralement accueillie avec prudence dans le secteur, jusqu’à ce que l’entité ou la victime le confirme. L’AEAT nie l’attaque dès le premier instantaffirment n’avoir détecté aucune indication d’un éventuel vol d’équipements cryptés ou de données, « la situation a été évaluée depuis ce matin et, jusqu’à présent, aucun problème n’a été identifié. La situation reste sous surveillance », a-t-il déclaré à EL ESPAÑOL.
🚨Alerte cyberattaque !!
🇪🇸Espagne – Agence Fiscale (AEAT)
Le groupe de piratage Trinity prétend avoir violé l’agence fiscale AEAT.
Selon le post, 560 Go de données ont été exfiltrés.
Date limite de rançon : 31 décembre 24. pic.twitter.com/HJEyYSzAor
– HackManac (@H4ckManac) 1 décembre 2024
Ce manque de preuves pourrait signifier que la base de données concernée n’a pas encore été localisée. Les sources consultées par ce journal expliquent qu’il serait possible que le système attaqué soit une copie de sa base de données, qui sert habituellement de sécurité contre les attaques ou les pannes informatiques. Certains groupes de hackers chiffrent et volent ces copies sans bloquer complètement leur victime.ce qui ne les empêche pas de continuer à les extorquer.
On envisage également la possibilité que ce ne soit pas l’institution qui ait été réellement attaquée, mais plutôt une entreprise qui travaille pour eux. Les hackers parlent d’un revenu ou d’un bénéfice pour la victime de 38 millions de dollars, mais étant une organisation publique, elle n’a aucun bénéfice. Il pourrait s’agir d’une entreprise associée à l’AEAT.
L’absence d’échantillons ou de tests des données obtenues est une autre raison de se méfier, selon l’un des experts consultés. Dans un cas de ransomware, la chose normale est que : pour faire pression sur l’extorsion, au moins certains documents sont présentés pour prouver que ces informations clés ont effectivement été consultées.
D’un autre côté, « le type d’attaques que ce gang a menées ces derniers mois ne sont pas spécialement dirigées contre l’Administration publique ». L’année dernière, cette attaque en Espagne n’apparaît que dans leur liste d’actions, qu’ils publient sur leur site Internet pour revendiquer ce coup sûr. Pourtant, ils ne l’excluent pas comme étant possible. L’Agence fiscale n’est pas tenue de signaler publiquement l’attaque, sauf aux organismes chargés de mener une enquête. Au vu du rythme des attaques détectées en Espagne et dans le reste du monde ces dernières années, ce que tous les experts savent clairement, c’est que À un moment donné, tout le monde peut être victime de quelqu’un.
Ce n’est pas le premier hack majeur que subit le fisc ces dernières années. En 2023, le jeune homme arrêté pour l’attaque du Point Neutre Judiciaire est envoyé en prison provisoire. À l’âge de 19 ans, José Luis Huertas Rubio, qui agit sous le pseudonyme d’Alcasec, a accédé aux données d’un total de 575 186 contribuables, stockées dans les bases de données de l’Administration fiscale. Au sein du réseau Sara auquel appartient l’AEAT, le Service public de l’emploi de l’État (SEPE) et la DGT, entre autres, ont également été touchés ces dernières années par d’importants piratages.
Comment fonctionne Trinité
Par une attaque classique, à l’aide d’un email ou d’un lien, les pirates compromettre le système et voler les informations d’identification. Peut-être que quelqu’un trouvera un accès antérieur, utilisé par d’autres attaquants, ou une vulnérabilité qui lui ouvrirait les portes. Les experts préviennent que le principal risque actuel en Espagne est la faiblesse du réseau qui relie les fournisseurs et les entreprises tierces aux grandes entités et entreprises.
Photomontage du logo de l’Agence fiscale et d’un code. Unsplash/NC Omicrono
Une fois installé, le ransomware Trinity envoie des informations opérationnelles au système sur le nombre de processeurs et de lecteurs connectés disponibles pour l’attaque et recherche des vulnérabilités supplémentaires pour circuler sur le réseau et propager davantage le ransomware. Une fois à l’intérieur du système, le ransomware collecte des données et tente d’obtenir des privilèges en se « faufilant » en tant que processus légitime.
Selon le rapport de l’Information Security Office des États-Unis, le groupe Trinity a adopté une méthodologie d’attaque appelée double extorsion : ils volent des données avant de les crypter pour en empêcher l’accès. Les fichiers concernés finissent par être renommés avec une extension « .trinitylock ».
Nacho Castañón Omicrono
Ces types de gangs vendent leurs logiciels malveillants et l’utilisation de la plateforme avec laquelle ils gèrent les attaques et les rançons des victimes à leurs affiliés, qui peuvent venir du monde entier. Ensuite, ils partagent les bénéfices. Ces publicités donnent de la notoriété au groupe et peuvent attirer de nouveaux membres, qu’ils soient vrais ou non.
Trinity est devenue connue dans ces derniers mois en raison des attaques contre des hôpitaux aux États-Unis et au Royaume-Uni. Cela a conduit le centre de coordination des cyberattaques du ministère américain de la Santé à publier un rapport d’alerte sur son fonctionnement. Un autre détail important est qu’il n’existe toujours pas d’outils publics permettant de décrypter les données concernées.
Chaque famille de ransomware possède son propre mécanisme de cryptage. Trinity, dans ses dernières variantes, n’a pas encore été décryptée, ce qui ne veut pas dire qu’il ne pourra pas y en avoir un à l’avenir. Un exemple en est le démantèlement des opérations de lockbit que la police a récemment réalisé et qui a permis de comprendre le fonctionnement des infrastructures et de développer des outils de défense.