Esta es una historia sobre un ciberataque diferente. Cuando escribimos sobre ataques de ransomware en los que se chantajea a toda una empresa de una vez, surgen inmediatamente dos preguntas candentes:
- ¿Cuánto dinero exigieron los ciberdelincuentes?
- ¿Pagó la víctima?
Las respuestas varían, pero como probablemente hayas leído en nuestro blog, los ciberdelincuentes de ransomware modernos a menudo usan una técnica de extorsión de estrategia doble en un intento de maximizar el precio del rescate.
En primer lugar, los ciberdelincuentes roban los archivos de la empresa y amenazan con hacerlos públicos o venderlos a otros delincuentes; luego, cifran los archivos de datos en todos los ordenadores de la empresa para detener el negocio.
Paga el dinero del chantaje, dicen los ciberdelincuentes, y no solo “garantizarán” que los datos robados nunca se enviarán a nadie más, sino que también proporcionarán un programa de descifrado para reconstituir todos los archivos codificados para que las operaciones comerciales puedan reanudarse.
Los informes recientes incluyen un ataque a la empresa Garmin, que supuestamente fue chantajeada por $ 10 millones que pagó, aunque aparentemente después de rebajar la cantidad; y otro a la empresa de viajes empresariales CWT, que se enfrentó a una demanda similar de siete cifras y terminó entregando más de $ 4,5 millones a los ciberdelincuentes para que su negocio volviera a funcionar.
En contraste, la firma legal Grubman Shire Meiselas & Sacks se enfrentó a una enorme demanda de extorsión de ransomware de $ 42 millones, pero luchó, comparando a los ciberdelincuentes con terroristas y se negó a pagar un céntimo.
Más recientemente, el gigante estadounidense de bebidas alcohólicas Brown-Forman adoptó una postura similar, negándose a tratar con los ciberdelincuentes después de que se infiltraran en su red.
La tercera pregunta
Por supuesto, hay una tercera pregunta, una que no es tan dramática como “¿cuánto?”, pero que es mucho más importante:
- ¿Cómo consiguieron entrar los ciberdelincuentes?
Hay muchas respuestas posibles, que incluyen: mediante el uso de exploits contra vulnerabilidades de software no parcheadas, enviando archivos adjuntos infectados en correos electrónicos de phishing, atrayendo a los empleados a páginas de inicio de sesión falsas para robar contraseñas, mediante el uso de malware existente en la red para descargar e implementar el programa ransomware, encontrando portales de acceso remoto desprotegidos como RDP o SSH, o consiguiendo ayuda desde dentro.
Y eso es lo que sucedió, o eso es lo que alega el Departamento de Justicia de EEUU (DOJ), en un reciente ciberataque en Reno, Nevada.
Según los cargos penales federales presentados esta semana, el Departamento de Justicia afirma que un tal Egor Igorevich Kriuchkov de Rusia no solo planeó un ataque de malware contra una empresa estadounidense, sino que también viajó en persona a Estados Unidos para negociar con un empleado de la empresa para implantar el malware y así iniciar el ataque.
El viejo mundo se encuentra con la nueva tecnología
En una fascinante mezcla de técnicas cara a cara de la vieja escuela y cibercriminalidad de la nueva ola, Kriuchkov, que tiene 27 años, supuestamente organizó una reunión a través de WhatsApp, luego viajó a San Francisco y condujo a Reno en Nevada para hablar con un empleado no identificado de la empresa que pretendía atacar para proponerle un “proyecto especial”.
Actuando en nombre de co-conspiradores no identificados, presumiblemente a salvo en Rusia, donde (si son ciudadanos rusos) tienen protección constitucional contra la extradición, se supone que Kruichkov ofreció un millón de dólares a cambio de la información privilegiada que le permitiría perpetrar el crimen.
El expediente judicial afirma que se esperaba que la información privilegiada proporcionara datos relevantes para adaptar el ataque a la red de la víctima, y luego conectar y ejecutar el malware para infectar la red.
A cambio, Kriuchkov prometió al informante un millón de dólares.
En la declaración jurada no se dan detalles sobre la inteligencia de red que se esperaba que presentara el informante, pero probablemente son muchos datos que serían valiosos para los atacantes, entre ellos: listas de nombres de ordenadores y servidores; diagramas de red que incluyen numeración de IP interna, configuración de firewall y configuración de VLAN; cualquier software de seguridad instalado; nombres de usuario y horas de trabajo; personal de TI y patrones de turnos; y mucho más.
Aparentemente, mientras el malware se desencadenaba desde el interior de la red, Kruichkov, presumiblemente en Rusia en ese momento, y sus co-conspiradores planeaban lanzar un ataque de “señuelo” desde el exterior, distrayendo así al equipo de TI de la empresa de los problemas más graves, problemas que se desarrollaban internamente.
La hoja de cargos no menciona la codificación de archivos en los planes, afirmando simplemente que:
Los co-conspiradores participarían en un ataque distribuido de denegación de servicio para desviar la atención del malware.
El malware permitiría a los conspiradores extraer datos de la red de la empresa víctima A.
Una vez que se extrajeron los datos, los conspiradores extorsionarían a la empresa víctima A por un pago sustancial.
La conspiración no tiene éxito
Fuera lo que fuese lo que buscaba Kruichkov, las cosas no salieron bien.
El informante se puso en contacto con las autoridades y, al parecer, las autoridades intentaron ponerse en contacto con Kruichkov.
Según el FBI, Kruichkov condujo 800 km desde Reno a Los Ángeles durante la noche, presumiblemente con la esperanza de volar directamente fuera de los EEUU antes de que lo pudieran atrapar.
Pero no lo logró y fue arrestado en Los Ángeles.
¿Qué hacer?
Estamos asumiendo, si estas acusaciones resultan estar bien fundamentadas, que los ciberdelincuentes habrían incluido un componente de codificación de archivos en su malware de extorsión, solo porque podían, y porque casi con certeza habría empeorado las cosas si funcionase.
Pero es importante señalar que esta conspiración parece haber existido sobre la base de poder extorsionar a la víctima solo a través de datos robados.
En otras palabras, los delitos de ciberextorsión que involucran ransomware ya no necesitan depender de lo que sería la última parte de un ataque tradicional.
Los ciberdelincuentes parecen estar seguros de que se pueden ganar millones incluso si fallan (o no se molestan en) ese paso final de cifrado de archivos.
Entonces, como hemos dicho muchas veces antes, prevenir es mucho mejor que curar, y la prevención temprana es aún mejor.
A menudo le recomendamos establecer un punto único de contacto de ciberseguridad para todos los empleados, ya sea por teléfono o correo electrónico, con el objetivo de convertir a todos los miembros de la empresa en los ojos y oídos del equipo de seguridad de TI.
En este caso, una advertencia oportuna no solo evitó el ataque, sino que también condujo al arresto de un sospechoso.
Dejar un comentario