El Centro Nacional de Seguridad Cibernética (NCSC) de Suiza, con el apoyo de la Oficina Federal de Ciberseguridad (BACS) de ese país, realizaron una investigación a partir de los datos filtrados robados por el grupo de ransomware Play en 2023.
El grupo de ransomware filtró alrededor de 65 mil documentos pertenecientes al gobierno federal suizo, incluidos documentos clasificados y credenciales de inicio de sesión, los que se publicaron en su sitio de filtración en la Dark Web el 14 de junio de 2023.
El ciberataque afectó al proveedor suizo de servicios informáticos Xplain, el que asiste a varios departamentos gubernamentales, unidades administrativas e incluso la fuerza militar del país.
En el momento en el que ocurrió el incidente, el actor de amenazas afirmó haber robado documentos que contenían información confidencial, pero solo esta semana, y tras el trabajo del NCSC y del BACS, se pudieron conocer los detalles filtrados.
El gobierno suizo enfatizó que el informe se centra en los tipos de datos y los desafíos del análisis, no en el contenido de los datos filtrados. Alrededor del 70% (alrededor de 47.413) de los expedientes pertenecen a Xplain y el 14% (9.040) a la Administración Federal.
El 95% de los archivos filtrados por la banda Play (9.040archivos), pertenecen al gobierno federal suizo, principalmente del Departamento Federal de Justicia y Policía, la Oficina Federal de Justicia, la Oficina Federal de Policía, la Secretaría de Estado de Migración y el ISC-FDJP.
Otras reparticiones, como el Departamento Federal de Defensa y el Departamento de Protección Civil y Deportes (DDPS), se vieron ligeramente afectados y representan un poco más del 3% de esos datos.
Aproximadamente la mitad de los archivos de la Administración Federal contienen contenido sensible como datos personales, información técnica, información clasificada y contraseñas, con 4.779 archivos que contienen datos personales y 278 archivos que contienen información técnica.
121 documentos fueron clasificados según la Ordenanza de protección de la información y 4 de ellos contenían contraseñas legibles.
La extensa duración de la investigación fue atribuida a la complejidad del análisis de datos no estructurados y al gran volumen de datos filtrados, los que requirieron mucho tiempo y recursos para clasificar los documentos relevantes para la Administración Federal.
Además, el análisis de los datos filtrados en busca de evidencia fue legalmente complejo, ya que la información confidencial requería la coordinación y participación de varias agencias.