Qué es Trinity, el ransomware con el que supuestamente un grupo de hackers ha robado y cifrado datos de la Agencia Tributaria

Este fin de semana el sistema de alertas de ciberseguridad HackManac advirtió de un ciberataque que supuestamente había afectado a la Agencia Tributaria de España (AEAT). Según dicha alerta, se robaron y cifraron 560 GB de datos con un ransomware llamado Trinity. En la descripción se incluyen una cantidad, 38 millones de dólares —probablemente, el rescate pedido— y una fecha,  el 31 de diciembre de 2024 a las 12 de la noche —teóricamente la fecha límite para el pago antes de publicar/vender los datos—. Ahora bien, ¿qué es Trinity?

Trinity. Este ransomware se detectó por primera vez en mayo de 2024. Como otros ciberataques de este tipo, este malware es capaz de cifrar datos de forma que sus propietarios no puedan acceder a ellos ni usarlos. En este caso los ficheros afectados acaban siendo renombrados con una extensión ".trinitylock"

Cómo actúa. Este software malicioso se infiltra en los sistemas mediante diversos vectores de ataque como phishing, sitios web maliciosos o la explotación de vulnerabilidades software. A partir de ahí el ransomware recolecta datos del sistema en el que se infiltra (características del procesador, unidades conectadas) y trata de ganar privilegios intentando "colarse" como un proceso legítimo. Una vez logrado el acceso, intenta expandirse por la red para atacar a múltiples sistemas.

No solo cifra, también roba. Como indican en Hive Pro, cuando Trinity ha logrado infiltrarse en el sistema, el ransomware hace dos cosas: en primer lugar, roba los datos que cifrará para que queden en posesión del ciberatacante. Y en segundo, los cifra con un algoritmo de cifrado que hace que esos datos queden inutilizables en el sistema de la víctima a no ser que se use una clave de descifrado.

Similar a otros conocidos. Trinity parece tener similitudes con los ransomware Venus y 2023Lock. Por ejemplo, Trinity y Venus usan un algoritmo de cifrado llamado ChaCha20, y comparte por ejemplo el tipo de mensajes que dejan los atacantes tras usar 2023Lock, lo que parece indicar que Trinity es un "fork" de estas aplicaciones maliciosas. Al terminar su ataque, Trinity muestra una nota de rescate en texto y también en formato .hta (aplicación HTML), y además cambia el fondo de escritorio mediante un cambio en el registro de Windows.

De momento no hay solución. Por ahora no se conocen herramientas con las que descifrar este tipo de ransomware, lo que hace que las víctimas tengan pocas opciones. Según indican en WatchGuard, los ciberdelincuentes que usan este software exigen el pago del rescate (ransom) en forma de criptomonedas. Para comunicarse con ellos dejan una dirección de correo o incluso ofrecen la opción de contacto a través de una URL de la Deep Web (.onion) que se puede visitar con el navegador Tor.

En Xataka | LockBit era el grupo de ransomware más peligroso del mundo. Su proveedor ha sido detenido en Madrid