Ciberataque a la Comisión Europea: grupos criminales detrás de la filtración masiva

La Agencia de Ciberseguridad de la Unión Europea (CERT-EU) informó el jueves que un reciente ciberataque a la Comisión Europea fue llevado a cabo por el grupo de ciberdelincuentes conocido como TeamPCP. En un nuevo informe, CERT-EU reveló que los hackers sustrajeron aproximadamente 92 gigabytes de datos comprimidos de una cuenta de Amazon Web Services (AWS) utilizada por la Comisión, que incluía información personal como nombres, direcciones de correo electrónico y contenido de correos electrónicos.

El incidente afectó la infraestructura en la nube de la plataforma Europa.eu, que los estados miembros utilizan para alojar sitios web y publicaciones de las instituciones y agencias del bloque. Según el informe, los datos de al menos 29 entidades de la UE podrían estar comprometidos, y se teme que numerosos clientes internos de la Comisión también hayan sufrido robos de información.

Los datos robados fueron posteriormente publicados en línea por otro grupo de hackers, ShinyHunters. Aunque el tamaño de la filtración es notable, la combinación de ataques y la posterior divulgación de datos por parte de dos grupos diferentes de ciberdelincuentes subraya una creciente tendencia de colaboración entre criminales para extorsionar a sus víctimas.

CERT-EU indicó que la brecha se originó el 19 de marzo, cuando los hackers obtuvieron una clave API secreta asociada con la cuenta de AWS de la Comisión, tras un hackeo previo que afectó a la herramienta de seguridad de código abierto Trivy. La Comisión, sin darse cuenta, descargó una copia de la herramienta comprometida después de la reciente brecha del proyecto, lo que permitió a los hackers robar su clave API y acceder a los datos almacenados en la cuenta de AWS de la Comisión.

Si bien el servicio está en proceso de analizar los datos publicados en línea, se estima que cerca de 52,000 archivos contienen mensajes de correo electrónico enviados. CERT-EU advirtió que, aunque la mayoría de estos correos son automatizados y carecen de contenido, los correos que rebotaron con un error "pueden contener el contenido original enviado por el usuario, lo que representa un riesgo de exposición de datos personales".

La agencia ya se encuentra en contacto con las organizaciones afectadas. Un portavoz de la Comisión Europea comunicó a TechCrunch que el organismo permanecerá cerrado hasta la próxima semana y que responderá a las solicitudes de comentarios en ese momento.

Por su parte, un miembro de ShinyHunters no respondió a las solicitudes de comentarios. Aparte de la brecha de Trivy, TeamPCP ha sido vinculado a ataques de ransomware y campañas de minería de criptomonedas, según Aqua Security, que desarrolla Trivy. Recientemente, los hackers han estado detrás de una campaña sistemática de ataques a la cadena de suministro que compromete otros proyectos de seguridad de código abierto.

Al dirigirse a desarrolladores con claves para acceder a sistemas sensibles, los hackers "tienen la capacidad de retener a las organizaciones comprometidas como rehenes, exigiendo pagos de extorsión", señaló Unit 42.