Los últimos ataques ciberdelincuentes de alto perfil atribuidos a la banda del ransomware Clop no son ataques de ransomware tradicionales (si “tradicionales” es la palabra adecuada para un mecanismo de extorsión que se remonta solo a 1989).
Los ataques de ransomware tradicionales son aquellos en los que tus archivos se cifran, tu negocio se paraliza por completo y aparece un mensaje que te dice que hay disponible una clave de descifrado para tus datos por una cantidad de dinero que suele ser exorbitante.
Evolución delictiva
Como puedes imaginar, dado que el ransomware se remonta a la época anterior a que todo el mundo tuviera acceso a Internet (y cuando los que estaban conectados tenían velocidades de transferencia de datos que no se medían en gigabits ni siquiera en megabits por segundo, sino a menudo simplemente en kilobits), la idea de codificar tus archivos allí donde se encontraban era un truco para ahorrar tiempo.
Los delincuentes acababan teniendo un control total sobre tus datos, sin necesidad de subirlo todo primero y luego sobrescribir los archivos originales en el disco.
Mejor aún para los delincuentes, podían ir tras cientos, miles o incluso millones de ordenadores a la vez, y no necesitaban retener todos tus datos con la esperanza de “volver a vendértelos”. (Antes de que el almacenamiento en la nube se convirtiera en un servicio al consumidor, el espacio en disco para copias de seguridad era caro, y no podía adquirirse fácilmente bajo demanda al momento).
Irónicamente, las víctimas del ransomware de cifrado de archivos acaban actuando como carceleros involuntarios de sus propios datos.
Sus archivos quedan tentadoramente al alcance de la mano, a menudo con sus nombres originales (aunque con una extensión extra como .locked añadida al final para echar sal en la herida), pero totalmente ininteligibles para las aplicaciones que normalmente los abrirían.
Pero en el mundo actual de la computación en nube, los ciberataques en los que los ladrones de ransomware se llevan copias de todos, o al menos de muchos, de tus archivos vitales no solo son técnicamente posibles, sino que son habituales.
Para que quede claro, en muchos casos, si no en la mayoría, los atacantes también cifran tus archivos locales, porque pueden.
Después de todo, cifrar archivos en miles de ordenadores simultáneamente suele ser mucho más rápido que subirlos todos a la nube.
Los dispositivos de almacenamiento local suelen proporcionar un ancho de banda de datos de varios gigabits por segundo por unidad y por ordenador, mientras que muchas redes corporativas tienen una conexión a Internet de unos cientos de megabits por segundo, o incluso menos, compartida entre todos.
Cifrar todos tus archivos en todos tus portátiles y servidores a través de todas tus redes significa que los atacantes pueden chantajearte con llevar tu empresa a la quiebra si no puedes recuperar las copias de seguridad a tiempo.
Los delincuentes de ransomware de hoy en día a menudo se esfuerzan por destruir todos los datos de tus copias de seguridad que puedan encontrar antes de hacer la parte del cifrado de archivos.
La primera capa del chantaje dice: “Paga y te daremos las claves de descifrado que necesitas para reconstruir todos tus archivos justo donde están en cada ordenador, así que aunque tengas copias de seguridad lentas, parciales o ninguna, pronto estarás de nuevo en marcha; niégate a pagar y tus operaciones empresariales se quedarán donde están, totalmente paralizadas”.
Al mismo tiempo, aunque los delincuentes solo tengan tiempo de robar algunos de tus archivos más interesantes de algunos de tus ordenadores más interesantes, obtienen una segunda espada de Damocles que sostener sobre tu cabeza.
Esa segunda capa de chantaje es del tipo: “Paga y prometemos borrar los datos robados; niégate a pagar y no solo los conservaremos, sino que haremos lo que queramos con ellos”.
Los delincuentes suelen amenazar con vender los datos a otros delincuentes, con enviarlos a los organismos reguladores y a los medios de comunicación de tu país, o simplemente con publicarlos abiertamente en Internet para que cualquiera pueda descargarlos y sacar provecho de ellos.
Olvídate del cifrado
En algunos ataques de ciberextorsión, los delincuentes que ya han robado tus datos o bien se saltan la parte de codificación del archivo, o no son capaces de llevarla a cabo.
En ese caso, las víctimas acaban siendo chantajeadas solo a base de mantener callados a los delincuentes, no de recuperar sus archivos para volver a poner en marcha su negocio.
Eso parece ser lo que ocurrió en los recientes ataques de alto perfil a MOVEit, en los que la banda Clop, o sus afiliados, conocían una vulnerabilidad explotable de día cero en un software conocido como MOVEit que casualmente se dedica a cargar, gestionar y compartir de forma segura datos corporativos, incluyendo un componente que permite a los usuarios acceder al sistema simplemente usando su navegador web.
Por desgracia, el agujero de día cero existía en el código basado en la versión web de MOVEit, permitía que cualquiera que hubiera activado el acceso basado en la web exponía inadvertidamente sus bases de datos de archivos corporativos a comandos SQL inyectados a distancia.
Al parecer, ahora se sospecha que más de 130 empresas sufrieron el robo de datos antes de que se descubriera y parcheara el día cero de MOVEit.
Muchas de las víctimas parecen ser empleados cuyos datos de nóminas fueron violados y robados, no porque su propia empresa fuera cliente de MOVEit, sino porque lo era el procesador de nóminas subcontratado por su empresa, y sus datos fueron robados de la base de datos de nóminas de ese proveedor.
Además, parece que al menos algunas de las organizaciones pirateadas de esta forma (ya fuera directamente a través de su propia configuración de MOVEit, o indirectamente a través de uno de sus proveedores de servicios) eran organismos públicos estadounidenses.
Recompensa en juego
Esta combinación de circunstancias llevó al equipo estadounidense de Recompensas por la Justicia (RFJ), que forma parte del Departamento de Estado de EE.UU. (el equivalente de tu país podría llamarse Asuntos Exteriores o Ministerio de Asuntos Exteriores), a recordar a todo el mundo en Twitter lo siguiente:
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
Send us a tip. You could be eligible for a reward.#StopRansomware pic.twitter.com/fAAeBXgcWA
— Rewards for Justice (@RFJ_USA) June 16, 2023
El propio sitio web de RFJ dice, como se cita en el tuit anterior
Recompensas para la Justicia ofrece una recompensa de hasta 10 millones de dólares por información que conduzca a la identificación o localización de cualquier persona que, actuando bajo la dirección o el control de un gobierno extranjero, participe en actividades cibernéticas maliciosas contra infraestructuras críticas estadounidenses, violando la Ley de Fraude y Abuso Informático (CFAA).
No está claro si los informadores podrían acabar recibiendo varias veces 10.000.000 $ si identifican a varios delincuentes, y cada recompensa se especifica como “hasta” 10 millones de dólares en lugar de 10 millones de dólares sin dividir cada vez, pero será interesante ver si alguien decide intentar reclamar el dinero.