Hace seis meses, según el Departamento de Justicia de EE.UU. (DOJ), la Oficina Federal de Investigación (FBI) se infiltró en la banda de ransomware Hive y empezó a “recuperar” las claves de descifrado de las víctimas cuyos archivos habían sido descifrados.
Como ya debes saber, en los ataques de ransomware de hoy en día suelen participar dos grupos asociados de ciberdelincuentes.
Estos grupos suelen “conocerse” solo por apodos y “reunirse” solo en línea, utilizando herramientas de anonimato para evitar conocer (o revelar, ya sea por accidente o a propósito) las identidades y ubicaciones reales de los demás.
Los miembros principales de la banda permanecen en gran medida en segundo plano, creando programas maliciosos que codifican (o bloquean de otro modo el acceso a) todos los archivos importantes, utilizando una clave de acceso que guardan para sí mismos una vez hecho el daño.
También gestionan una o varias “páginas de pago” en la web oscura, donde las víctimas, en sentido amplio, van a pagar el dinero del chantaje a cambio de esas claves de acceso, lo que les permite desbloquear sus ordenadores y poner de nuevo en marcha sus empresas.
Crimeware como servicio
Este grupo principal está rodeado por un grupo de “afiliados”, posiblemente grande y siempre cambiante, socios en el crimen que irrumpen en las redes de otras personas para implantar los “programas de ataque” de la banda principal lo más amplia y profundamente posible.
Su objetivo, motivado por una “comisión” que puede llegar al 80 % del total del chantaje pagado, es crear una disrupción tan generalizada y repentina en un negocio que no solo puedan exigir un pago de extorsión exorbitante, sino también dejar a la víctima sin más opción que pagar.
Este acuerdo se conoce generalmente como RaaS o CaaS, abreviatura de ransomware (o crimeware) como servicio, un nombre que recuerda irónicamente que al submundo de los ciberdelincuentes le gusta copiar el modelo de afiliación o franquicia utilizado por muchas empresas legítimas.
Recuperarse sin pagar
Hay tres formas principales de que las víctimas puedan volver a poner en marcha sus negocios sin pagar tras un ataque de bloqueo de archivos en toda la red que haya tenido éxito:
- Disponer de un plan de recuperación sólido y eficaz. En términos generales, esto significa no solo tener un proceso de primera para hacer copias de seguridad, sino también saber cómo mantener al menos una copia de seguridad de todo a salvo de los afiliados al ransomware (nada les gusta más que encontrar y destruir tus copias de seguridad online antes de desencadenar la fase final de su ataque). También tienes que haber practicado cómo restaurar esas copias de seguridad con la suficiente fiabilidad y rapidez como para que hacerlo sea una alternativa viable a pagar.
- Encontrar un fallo en el proceso de bloqueo de archivos utilizado por los atacantes. Normalmente, los delincuentes del ransomware “bloquean” tus archivos cifrándolos con el mismo tipo de cifrado que podrías utilizar tú mismo al proteger tu tráfico web o tus propias copias de seguridad. Ocasionalmente, sin embargo, la banda principal comete uno o más errores de programación que pueden permitirte utilizar una herramienta gratuita para “crackear” el descifrado y recuperarte sin pagar. Ten en cuenta, sin embargo, que esta vía de recuperación se produce por suerte, no por diseño.
- Conseguir las contraseñas o claves de recuperación de alguna otra forma. Aunque esto es poco frecuente, hay varias formas de conseguirlo, como: identificar a un traidor dentro de la banda que filtre las claves en un arrebato de conciencia o en un arrebato de rencor; encontrar un error de seguridad en la red que permita un contraataque para extraer las claves de los propios servidores ocultos de los delincuentes; o infiltrarse en la banda y conseguir acceso encubierto a los datos necesarios en la red de los delincuentes.
La última de estas opciones, la infiltración, es lo que el DOJ dice que ha podido hacer al menos para algunas víctimas de Hive desde julio de 2022, aparentemente cortocircuitando demandas de chantaje por un total de más de 130 millones de dólares, relacionadas con más de 300 ataques individuales, en sólo seis meses.
Suponemos que la cifra de 130 millones de dólares se basa en las exigencias iniciales de los atacantes, los ciberdelincuentes a veces acaban aceptando pagos más bajos, prefiriendo aceptar algo antes que nada, aunque los “descuentos” ofrecidos a menudo parecen reducir los pagos solo de inasequibles a exorbitantemente enormes. La demanda media basada en las cifras anteriores es de cerca de 450.000 dólares por víctima.
Los hospitales se consideran objetivos aceptables
Como señala el DOJ, muchas bandas de ransomware en general, y la banda Hive en particular, consideran que todas las redes son juego limpio para el chantaje, y atacan a organizaciones financiadas con fondos públicos, como escuelas y hospitales, con el mismo vigor que utilizan contra las empresas comerciales más ricas:
El grupo de ransomware Hive […] ha atacado a más de 1500 víctimas en más de 80 países de todo el mundo, incluidos hospitales, distritos escolares, empresas financieras e infraestructuras críticas.
Desgraciadamente, aunque infiltrarte en una banda moderna de ciberdelincuentes puede darte una visión fantástica de las TTP (herramientas, técnicas y procedimientos) de la banda, y, como en este caso, la oportunidad de interrumpir sus operaciones subvirtiendo el proceso de chantaje en el que se basan esas demandas de extorsión tan exorbitantes, conocer incluso la contraseña del administrador de la banda para acceder a la infraestructura informática de los delincuentes, basada en la web oscura, generalmente no te dice dónde está basada esa infraestructura.
Pseudoanonimato bidireccional
Uno de los grandes/terribles aspectos de la web oscura (dependiendo de por qué la utilices y de qué lado estés), especialmente la red Tor (abreviatura de “the onion router”), muy utilizada por los delincuentes de ransomware actuales, es lo que podríamos llamar su pseudoanonimato bidireccional.
La darkweb no sólo oculta la identidad y la ubicación de los usuarios que se conectan a los servidores alojados en ella, sino que también oculta la ubicación de los propios servidores a los que visitan los clientes.
El servidor (al menos en su mayor parte) no sabe quién eres cuando te conectas, lo que atrae a clientes como los afiliados a la ciberdelincuencia y los posibles compradores de drogas de la web oscura, porque tienden a pensar que podrán cortar por lo sano y huir, incluso si detienen a los principales operadores de la banda.
Del mismo modo, los operadores de servidores fraudulentos se sienten atraídos por el hecho de que, aunque sus clientes, afiliados o sus propios administradores de sistemas sean detenidos, convertidos o pirateados por las fuerzas de seguridad, no podrán revelar quiénes son los miembros de la banda principal ni dónde alojan sus actividades maliciosas en línea.
Desmantelamiento al fin
Bueno, parece que el motivo del comunicado de prensa del Departamento de Justicia es que los investigadores del FBI, con la ayuda de las fuerzas de seguridad de Alemania y Holanda, han identificado, localizado e incautado los servidores de la darkweb que utilizaba la banda Hive:
Finalmente, el departamento ha anunciado hoy [2023-01-26] que, en coordinación con las fuerzas de seguridad alemanas (la Policía Criminal Federal alemana y la Jefatura de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de Holanda, se ha incautado del control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros, lo que ha interrumpido la capacidad de Hive para atacar y extorsionar a sus víctimas.
¿Qué hacer?
Escribimos este artículo para felicitar al FBI y a sus socios policiales en Europa por haber llegado tan lejos, investigando, infiltrándose, reconociendo y, finalmente, golpeando para implosionar la infraestructura actual de esta célebre banda de ransomware, con sus demandas de chantaje de medio millón de dólares de media, y su disposición a acabar con hospitales con la misma facilidad con la que van a por la red de cualquier otro.
Por desgracia, es probable que ya hayas oído el tópico de que la ciberdelincuencia aborrece el vacío, y eso es tristemente cierto tanto para los operadores de ransomware como para cualquier otro aspecto de la ciberdelincuencia.
Si no se detiene a los principales miembros de la banda, puede que simplemente pasen desapercibidos durante un tiempo, y luego aparezcan con un nuevo nombre (o quizás incluso revivan deliberada y arrogantemente su antigua “marca”) con nuevos servidores, accesibles de nuevo en la darkweb, pero en una ubicación nueva y ahora desconocida.
U otras bandas de ransomware simplemente intensificarán sus operaciones, con la esperanza de atraer a algunos de los “afiliados” que de repente se quedaron sin su lucrativo flujo de ingresos ilícitos.
En cualquier caso, este tipo de desmantelamientos son algo que necesitamos urgentemente, que debemos aplaudir cuando se producen, pero que probablemente no harán más que mella temporal en la ciberdelincuencia en su conjunto.
Para reducir la cantidad de dinero que los ladrones de ransomware están succionando de nuestra economía, tenemos que aspirar a prevenir la ciberdelincuencia, no sólo a curarla.
Detectar, responder y, por tanto, prevenir posibles ataques de ransomware antes de que empiecen, o mientras se desarrollan, o incluso en el último momento, cuando los delincuentes intentan desencadenar el proceso final de destrucción de archivos en tu red, siempre es mejor que el estrés de intentar recuperarse de un ataque real.
Como dijo el Sr. Miagi, de Karate Kid: “La mejor forma de evitar un puñetazo es no estar allí”.