{"id":36122,"date":"2024-12-02T08:27:18","date_gmt":"2024-12-02T08:27:18","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/tecnologia\/que-es-trinity-el-ransomware-con-el-que-supuestamente-un-grupo-de-hackers-ha-robado-y-cifrado-datos-de-la-agencia-tributaria\/"},"modified":"2024-12-02T08:27:18","modified_gmt":"2024-12-02T08:27:18","slug":"que-es-trinity-el-ransomware-con-el-que-supuestamente-un-grupo-de-hackers-ha-robado-y-cifrado-datos-de-la-agencia-tributaria","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=36122","title":{"rendered":"Qu\u00e9 es Trinity, el ransomware con el que supuestamente un grupo de hackers ha robado y cifrado datos de la Agencia Tributaria"},"content":{"rendered":"<div>\n<p>Este fin de semana el sistema de alertas de ciberseguridad HackManac <a rel=\"noopener, noreferrer\" href=\"https:\/\/x.com\/H4ckManac\/status\/1863180763849720003\">advirti\u00f3<\/a> de <a href=\"https:\/\/www.xataka.com\/seguridad\/hackeo-a-agencia-tributaria-nuevo-grupo-ransomware-amenaza-filtrar-560-gb-datos-antes-final-ano\" target=\"_blank\" rel=\"noopener\">un ciberataque que supuestamente hab\u00eda afectado a la Agencia Tributaria de Espa\u00f1a<\/a> (AEAT). Seg\u00fan dicha alerta, se robaron y cifraron 560 GB de datos con un ransomware llamado Trinity. En la descripci\u00f3n se incluyen una cantidad, 38 millones de d\u00f3lares \u2014probablemente, el rescate pedido\u2014 y una fecha, \u00a0el 31 de diciembre de 2024 a las 12 de la noche \u2014te\u00f3ricamente la fecha l\u00edmite para el pago antes de publicar\/vender los datos\u2014. Ahora bien, \u00bfqu\u00e9 es Trinity?<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p><strong>Trinity<\/strong>. Este ransomware <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.hhs.gov\/sites\/default\/files\/trinity-ransomware-threat-actor-profile.pdf\" target=\"_blank\">se detect\u00f3<\/a> por primera vez en mayo de 2024. Como otros ciberataques de este tipo, este malware es capaz de cifrar datos de forma que sus propietarios no puedan acceder a ellos ni usarlos. En este caso los ficheros afectados acaban siendo renombrados con una extensi\u00f3n \u00ab.trinitylock\u00bb<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/seguridad\/alianza-30-paises-ellos-espana-se-prepara-para-derrotar-al-ransomware-no-pagaran-rescates\" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"Una alianza de 30 pa\u00edses, entre ellos Espa\u00f1a, se prepara para derrotar al ransomware: no pagar\u00e1n rescates\" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/868b27\/ransomware\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p><strong>C\u00f3mo act\u00faa<\/strong>. Este software malicioso se infiltra en los sistemas mediante diversos vectores de ataque como phishing, sitios web maliciosos o la explotaci\u00f3n de vulnerabilidades software. A partir de ah\u00ed el ransomware recolecta datos del sistema en el que se infiltra (caracter\u00edsticas del procesador, unidades conectadas) y trata de ganar privilegios intentando \u00abcolarse\u00bb como un proceso leg\u00edtimo. Una vez logrado el acceso, intenta expandirse por la red para atacar a m\u00faltiples sistemas.<\/p>\n<p><!-- BREAK 3 --> <\/p>\n<p><strong>No solo cifra, tambi\u00e9n roba<\/strong>. Como indican <a rel=\"noopener, noreferrer\" href=\"https:\/\/hivepro.com\/wp-content\/uploads\/2024\/05\/Trinity-Ransomware-Strikes-with-the-Dual-Extortion-Strategy_TA2024187.pdf\" target=\"_blank\">en Hive Pro<\/a>, cuando Trinity ha logrado infiltrarse en el sistema, el ransomware hace dos cosas: en primer lugar, roba los datos que cifrar\u00e1 para que queden en posesi\u00f3n del ciberatacante. Y en segundo, los cifra con un algoritmo de cifrado que hace que esos datos queden inutilizables en el sistema de la v\u00edctima a no ser que se use una clave de descifrado.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p><strong>Similar a otros conocidos<\/strong>. Trinity parece tener similitudes con los ransomware Venus y 2023Lock. Por ejemplo, Trinity y Venus usan un algoritmo de cifrado llamado <a rel=\"noopener, noreferrer\" href=\"https:\/\/en.wikipedia.org\/wiki\/ChaCha20-Poly1305\" target=\"_blank\">ChaCha20<\/a>, y comparte por ejemplo el tipo de mensajes que dejan los atacantes tras usar 2023Lock, lo que parece indicar que Trinity es un \u00abfork\u00bb de estas aplicaciones maliciosas. Al terminar su ataque, Trinity muestra una nota de rescate en texto y tambi\u00e9n en formato .hta (aplicaci\u00f3n HTML), y adem\u00e1s cambia el fondo de escritorio mediante un cambio en el registro de Windows.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<div class=\"article-asset-image article-asset-large article-asset-center\">\n<div class=\"asset-content\">\n<div class=\"caption-img \">\n                   <img class=\"\" height=\"744\" width=\"2398\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/450_1000.jpeg 450w, https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/650_1200.jpeg 681w,https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/1024_2000.jpeg 1024w, https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/1366_2000.jpeg 1366w\" src=\"https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/450_1000.jpeg\" alt=\"Captura De Pantalla 2024 12 02 A Las 8 32 26\"\/><br \/>\n   <img decoding=\"async\" alt=\"Captura De Pantalla 2024 12 02 A Las 8 32 26\" class=\"\" src=\"https:\/\/i.blogs.es\/eab0dc\/captura-de-pantalla-2024-12-02-a-las-8.32.26\/450_1000.jpeg\"\/><\/p>\n<p>        <span>Imagen: WatchGuard<\/span>\n   <\/div>\n<\/p><\/div>\n<\/div>\n<p><strong>De momento no hay soluci\u00f3n<\/strong>. Por ahora no se conocen herramientas con las que descifrar este tipo de ransomware, lo que hace que las v\u00edctimas tengan pocas opciones. Seg\u00fan indican <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.watchguard.com\/wgrd-security-hub\/ransomware-tracker\/trinitylock\" target=\"_blank\">en WatchGuard<\/a>, los ciberdelincuentes que usan este software exigen el pago del rescate (ransom) en forma de criptomonedas. Para comunicarse con ellos dejan una direcci\u00f3n de correo o incluso ofrecen la opci\u00f3n de contacto a trav\u00e9s de una URL <a href=\"https:\/\/www.xataka.com\/basics\/como-entrar-deep-web-guia-2020-para-entrar-tor-zeronet-freenet-e-i2p\" target=\"_blank\" rel=\"noopener\">de la Deep Web<\/a> (.onion) que se puede visitar con el navegador Tor.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<p>En Xataka | <a href=\"https:\/\/www.xataka.com\/seguridad\/lockbit-era-grupo-ransomware-peligroso-mundo-su-administrador-ha-sido-detenido-madrid\" target=\"_blank\" rel=\"noopener\">LockBit era el grupo de ransomware m\u00e1s peligroso del mundo. Su proveedor ha sido detenido en Madrid<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/seguridad\/que-trinity-ransomware-que-supuestamente-grupo-hackers-ha-robado-cifrado-datos-agencia-tributaria\" class=\" target=\" title=\"Qu\u00e9 es Trinity, el ransomware con el que supuestamente un grupo de hackers ha robado y cifrado datos de la Agencia Tributaria\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Este fin de semana el sistema de alertas de ciberseguridad HackManac advirti\u00f3 de un ciberataque que supuestamente hab\u00eda afectado a la Agencia Tributaria de Espa\u00f1a (AEAT). Seg\u00fan dicha alerta, se robaron y cifraron 560 GB de datos con un ransomware llamado Trinity. En la descripci\u00f3n se incluyen una cantidad, 38 millones de d\u00f3lares \u2014probablemente, el [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":36123,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-36122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/36122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=36122"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/36122\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/36123"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=36122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=36122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=36122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}