Artículos

La anatomía de un ataque de ransomware

Apenas unas horas antes del fin de semana del 4 de julio, un gran ciberataque coordinado afectó a cientos de empresas en todo el mundo. Un grupo de piratas informáticos irrumpió explotando un agujero en el código de software de una empresa de tecnología de la información con una amplia base de clientes y luego exigió un rescate de 70 millones de dólares.

Una gran cadena de supermercados en Suecia cerró cientos de tiendas. Las escuelas de Nueva Zelanda advirtieron que es posible que el personal no pueda usar computadoras.

Fue el caso más grande hasta ahora de un flagelo que afecta a las empresas y agencias gubernamentales del mundo casi todos los días, y que solo está empeorando. En un análisis de los ataques de ransomware denunciados públicamente contra proveedores de atención médica, municipios y escuelas, The Washington Post descubrió que los ataques de ransomware en los Estados Unidos se duplicaron con creces entre 2019 y 2020.

Para reconstruir la anatomía de un ataque de ransomware, The Post realizó su propio análisis de datos y habló con casi una docena de expertos en ciberseguridad, funcionarios encargados de hacer cumplir la ley, negociadores y víctimas. The Post utilizó diferentes ejemplos para ilustrar los componentes de cómo ocurre un ataque. El examen resultante tiene cinco partes: los piratas informáticos, el pirateo, la negociación, el pago y las consecuencias.

Los costos de tales ataques se acumulan. Algunos expertos estiman de manera conservadora que los piratas informáticos recibieron $ 412 millones en pagos de rescate el año pasado.

“Los delincuentes están motivados económicamente y no son tontos”, dijo Joshua Motta, director ejecutivo de la compañía de seguros cibernéticos Coalition. “Durante un tiempo, fue el robo de tarjetas de crédito, las filtraciones de datos, la reventa de números de la Seguridad Social. El ransomware es un modelo de negocio considerablemente más lucrativo “.

Un ataque de ransomware cerró los sistemas de TI y provocó una gran interrupción en el servicio de salud pública de Irlanda en mayo. El Ejecutivo del Servicio de Salud identificó a los atacantes como una de las bandas de ciberdelincuentes más grandes que operan hoy, conocida como Conti.

La organización, que los investigadores creen que tiene su sede en Rusia, tiene un número desconocido de piratas informáticos que trabajan juntos en una estructura jerárquica, operando casi como un negocio legítimo. Ha desarrollado un malware que puede rastrear los sistemas informáticos y bloquear archivos, y emplea representantes para comunicarse con las víctimas, dijo Rick Holland, director de seguridad de la información de la compañía de software de ciberamenazas Digital Shadows.

Algunos ataques, como el de Kaseya, ocurren cuando los piratas informáticos encuentran una vulnerabilidad en el software de una empresa y la usan para ingresar a su sistema. Pero la mayoría usa métodos relativamente poco sofisticados para ingresar a las computadoras, como enviar correos electrónicos de phishing que engañan a los empleados para que abran un archivo adjunto o hacer clic en un enlace que descarga software malicioso, que luego encripta archivos y bloquea el acceso a toda la red.

Luego, Conti envía un mensaje que exige un rescate a cambio de una “clave de descifrado” o un programa informático que desbloqueará los archivos. Las empresas o los negociadores pueden enviar mensajes a los piratas informáticos de Conti para obtener un descuento o hacer un trato, así como trabajar en la logística, como dónde y cuándo se enviará el dinero.

“Si los ignora, puede marcarlos y luego pueden comenzar a ir a los medios, pueden comenzar a ir a las redes sociales, pueden comenzar a ir a los sitios de blogs”, dijo Holland.

Conti también amenaza con filtrar información de la empresa robada.

“Si usted es un cliente que rechazó el trato y no encontró sus datos en el sitio web del cartel o no encontró archivos valiosos, esto no significa que nos olvidamos de usted, solo significa que los datos se vendieron y, por lo tanto, no se publicaron. en acceso gratuito! ” Conti dice en su sitio web, disponible solo en la web oscura, que requiere un software especial para acceder.

Los intentos de comunicarse con Conti para hacer comentarios fallaron.

Ha filtrado información robada de más de 418 organizaciones desde que se estableció en enero de 2020, según la empresa cibernética Recorded Future. Es probable que el número real de empresas que ha pirateado sea órdenes de magnitud mayor. Conti fue citado en mayo por el FBI por piratear 16 organizaciones de atención médica y primeros auxilios en todo Estados Unidos.

El ransomware representó el 30% de todos los ciberataques con sede en EE. UU. Informados y confirmados por los investigadores de violación de datos de Verizon en 2020, más del doble de la tasa mundial.

El Ejecutivo del Servicio de Salud de Irlanda se negó a pagar el rescate, pero Conti cedió y entregó las llaves para desbloquear los sistemas para “disminuir las críticas”, según el Irish Times. Aún así, los servicios de atención médica se vieron “gravemente afectados” a fines de junio, dijo el servicio en un comunicado de prensa. Un portavoz del servicio confirmó que no había pagado un rescate y señaló un comentario que hizo su director ejecutivo el mes pasado.

“Conseguimos una clave de descifrado. … No es ningún tipo de software simple y listo para usar”, dijo el CEO Paul Reid en una conferencia de prensa a mediados de junio. “Es un conjunto de códigos de bloqueo muy torpe e inseguro que tuvimos que proteger”.

Y Conti es solo uno de esos grupos. Muchos ataques provienen de grupos organizados que operan con relativa impunidad desde Rusia, Bielorrusia y otros países de Europa del Este, según los investigadores. Los atacantes van desde individuos emprendedores hasta grupos de cientos que trabajan directamente para un estado como Corea del Norte.

Los ataques de más alto perfil a menudo los llevan a cabo grupos de piratas informáticos que, según los investigadores, operan de manera similar a empresas normales, con empleados, objetivos de ingresos y jerarquías internas.

Muchos de estos grupos, como DarkSide y REvil, ofrecen “ransomware como servicio”, vendiendo su malware a quien tenga los conocimientos para ejecutar un hack y tenga un objetivo.

Justo antes de las 5 am del 7 de mayo, un empleado de Colonial Pipeline vio una nota de rescate en la pantalla de una computadora. Muchos de los equipos informáticos del lado comercial de la red de la empresa habían sido bloqueados (sus datos encriptados) por piratas informáticos. Y querían dinero para volver a abrirlos.

La experiencia de Colonial Pipeline fue única en el sentido de que llevó a la empresa, como precaución, a cerrar todo su oleoducto. Pero no son solo las grandes empresas son las que se ven afectadas. Para las decenas de miles de pequeñas empresas estadounidenses que han sido blanco de los delincuentes de ransomware durante los últimos años, la sensación de ver una nota de rescate es demasiado familiar.

“Están absolutamente aterrorizados”, dijo Keith Swanson, director de inteligencia contra amenazas y contraextorsión en Kivu Consulting, que ayuda a las empresas víctimas a negociar con los piratas informáticos. “No saben qué hacer. Nunca se han enfrentado a algo así en su vida”.

Aproximadamente un tercio de las empresas estadounidenses tienen seguro cibernético, aunque cada vez es más difícil y caro obtenerlo a medida que aumentan los ataques. Generalmente, la aseguradora actúa como un centro para ayudar a la víctima en todo, desde la investigación del ataque hasta la reparación de los sistemas comprometidos, la negociación de rescates y la resolución de problemas legales y de relaciones públicas.

Una primera llamada se dirige a una empresa de ciberseguridad que puede investigar, ayudar a contener daños y reparar sistemas. Colonial, por ejemplo, confirmó que está trabajando con Mandiant, una empresa líder en ciberseguridad que ahora es propiedad de FireEye. Responde a más de 1,000 incidentes de violación al año, un poco más de un tercio de ellos que involucran algún tipo de ransomware, extorsión financiera o robo de tarjetas de pago.

“Lo primero que hacemos es intentar evaluar lo que está sucediendo”, dijo Charles Carmakal, director de tecnología de Mandiant. Eso incluye cómo ingresaron los piratas informáticos, si aún tienen acceso, qué hicieron y qué datos se expusieron.

Para responder a las preguntas, Mandiant necesita acceso a los datos de la red. Implementa de forma remota una herramienta de software forense que utiliza para acceder a cada computadora en la red de la víctima.

Empresas como Mandiant también ayudan a que las redes vuelvan a estar en línea. Eso podría implicar la reconstrucción de sistemas que fueron infectados con software malintencionado, descifrar archivos cifrados por el pirata informático y mejorar las defensas para defenderse de nuevos ataques.

El proceso puede llevar de días a semanas para una organización que no se ha visto demasiado afectada y tiene buenas copias de seguridad de sus archivos, dijo Carmakal. Para organizaciones más grandes, o aquellas sin buenas copias de seguridad, el proceso puede llevar meses.

A menudo, los actores del ransomware no se limitan a cifrar los datos. También los roban. Y buscan los datos más confidenciales que pueden encontrar: registros fiscales, negociaciones comerciales y propiedad intelectual.

Si una víctima puede evitar pagar un rescate y restaurar su red a partir de copias de seguridad, eso es genial, dijeron los expertos. Pero, dijo Swanson de Kivu, “muchas veces las redes no funcionan, están completamente fritas. Los malos vendrán y borrarán las copias de seguridad o las cifrarán “.

En ese caso, la víctima tiene que pagar el rescate o reconstruir toda su red desde cero. Incluso si la víctima paga y recibe un descifrador, un software que devuelve los datos cifrados a su estado original, el proceso de restauración puede llevar desde unos pocos días hasta semanas, dijo Austin Berglas, jefe global de servicios profesionales de la firma de ciberseguridad BlueVoyant.

Toda la experiencia es agotadora. “Incluso si una empresa tiene un plan sólido de respuesta a incidentes y lo han practicado, sigue siendo un pánico masivo”, dijo Berglas. “Si su negocio se cierra, es todos manos a la obra. Nadie descansa. Es a toda su fuerza”.

Kurtis Minder, fundador del servicio de ciberseguridad GroupSense, ayudó recientemente a una organización benéfica contra el cáncer que estaba excluida de su red informática a negociar un pago de ransomware.

“Fuimos bastante directos con el malo. Como, ‘Mira, la culpa es tuya, amigo. Ellos no lo tienen. Lo usan para prevenir el cáncer de mama”, dijo Minder.

Esa táctica funcionó para reducir el rescate, dijo. “No lo obtuvimos por cero, pero lo obtuvimos por casi cero”.

Cuando una empresa es pirateada, los atacantes generalmente dejan una nota de rescate. La nota puede ser tan simple como un correo electrónico a los ejecutivos de la empresa o un archivo de texto que se deja sin cifrar en uno de los servidores. A veces, cientos de computadoras en una habitación pueden tener pancartas rojas que dicen “Usted ha sido infectado”, dijo James Turgal, un ex agente del FBI que ahora es vicepresidente de la firma de ciberseguridad Optiv.

La nota generalmente contiene instrucciones sobre cómo acceder a un sitio web en la web oscura. Ahí es donde los piratas informáticos dirán cuánto quieren y cuánto tiempo tiene que pagar la víctima. A veces, un reloj de cuenta regresiva avanza, lo que le da a la empresa una cantidad de tiempo determinada, generalmente alrededor de una semana, antes de que suba el precio.

Quienes negocian suelen contratar a un profesional. Minder fundó GroupSense en 2014 para estudiar a los piratas informáticos y ayudar a otras empresas a protegerse contra ellos. Sus analistas, que en conjunto hablan más de una docena de idiomas, recorren la web oscura para aprender sobre los grupos de piratería y luego notifican a las empresas que podrían verse comprometidas.

“Hacemos [negociaciones] prácticamente todos los días, a veces varias veces al día”, dijo Minder. “Tenemos mucha información sobre estos tipos malos. Sabemos dónde operan. Sabemos muchas cosas sobre ellos”.

Ha recibido solicitudes de ayuda de víctimas, incluidas floristerías, imprentas y microcervecerías.

Para las grandes empresas, los piratas informáticos suelen pedir una suma de dinero en función de la información extraída de los estados financieros robados. Para las empresas más pequeñas, la demanda de apertura puede ser más arbitraria, dijo Minder.

En esos casos, los piratas informáticos pueden pedir a las empresas cantidades relativamente bajas, como $ 10,000, para fomentar la velocidad (de la negociación) , dijo Berglas. Los piratas informáticos más sofisticados que atacan a empresas más grandes suelen solicitar pagos iniciales de millones de dólares.

Las negociaciones generalmente se realizan en inglés, pero a menudo está claro que los mensajes se transmiten a través de Google Translate porque el idioma del pirata informático no parece ser el de un hablante nativo. El tono de las negociaciones es generalmente civil y empresarial, dijo Minder. “Están perpetrando esto como si fuera un negocio normal y están haciendo algún tipo de favor de seguridad para la víctima”.

Los piratas informáticos esperan que el negociador intente bajar el precio. “Es casi como los concesionarios de autos usados”, dijo Minder. “Saben que no estás pagando el precio de la etiqueta. Y es por eso que el precio en la etiqueta es el que es”. Para las pequeñas empresas, todo el proceso lleva de dos a cuatro días. Para los más grandes, podría durar hasta tres semanas.

Los datos sobre lo que las empresas realmente pagan a los piratas informáticos son irregulares, porque muchas víctimas no revelan los ataques en primer lugar. El pago promedio en el cuarto trimestre de 2020 fue de $ 154,000, por debajo de un tope de más de $ 230,000 a principios de año, según la consultora de ciberseguridad Coveware.

En general, la empresa de Minder ha logrado reducir el monto final que pagan las empresas entre el 10 y el 40 por ciento de la demanda original, dijo.

JBS, el procesador de carne más grande del mundo, fue pirateado a fines de mayo, una violación del sistema que hizo que cerrara plantas de carne en todo Estados Unidos e interrumpió las operaciones durante días. El 1 de junio, pagó un rescate de $ 11 millones para evitar que los datos de los clientes se vean comprometidos.

“Esta fue una decisión muy difícil de tomar para nuestra empresa y para mí personalmente”, dijo el director ejecutivo de JBS USA, Andre Nogueira, en un comunicado en ese momento.

Tom Robinson, un investigador de blockchain y cofundador de la compañía de análisis Elliptic, dijo que examinó el libro mayor digital, una lista en línea disponible públicamente de todas las transacciones realizadas con bitcoin.

Pudo rastrear el pago de rescate de bitcoin de JBS a una “billetera” que creía que está asociada con una pandilla de ciberdelincuentes que se cree que tiene su sede en Rusia.

Bitcoin es una criptomoneda, una forma digital de dinero que se crea a través de cantidades masivas de potencia informática y se puede comerciar virtualmente a través de una serie de “billeteras” privadas y “intercambios” públicos. Los intercambios son mercados organizados, administrados por empresas, donde las personas traen sus criptomonedas para convertirlas en dólares, libras u otras formas de dinero; operan de manera similar a los intercambios de divisas en los bancos.

En la mayoría de las criptomonedas, cada transacción se registra en el libro mayor, conocido como blockchain. Así es como Robinson pudo ver que el pago de 301 bitcoin de JBS se obtiene en un intercambio de EE. UU. y se transfiere de sus manos a una billetera privada, presumiblemente perteneciente a los ciberdelincuentes.

En cuestión de horas, los fondos se dispersaron en cientos de billeteras.

Como se dispersaron los 301 bitcoins que pagó JBS

“La criptomoneda está invadiendo todas las formas de actividades delictivas, y los delincuentes siguen el dinero”, dijo Gurvais Grigg, exdirector asistente del FBI y ahora director de tecnología del sector público global de la firma de análisis de blockchain Chainalysis.

Las transacciones también son irreversibles, dijo Rich Sanders, cofundador e investigador principal de CipherBlade, que analiza blockchain. “No puede ir a quejarse a Bitcoin y pedir un reembolso”.

Algunos de los fondos de JBS se enviaron a través de “mezcladores” digitales, que operan como una forma digital de lavado de dinero. Los mezcladores usan software para mezclar e intercambiar un bitcoin por otro, todo con el propósito de romper la cadena para que el historial de una sola moneda sea más difícil de rastrear.

Los piratas informáticos tienden a ser atrapados cuando quieren cambiar su moneda digital por efectivo tradicional, dijeron los expertos.

Los investigadores intentan identificar y etiquetar los fondos en la blockchain para realizar un seguimiento de ellos. Si el dinero alguna vez se mueve de una billetera privada a un intercambio público, los investigadores o las fuerzas del orden pueden comunicarse directamente con los operadores del intercambio y pedirles que bloqueen la cuenta en cuestión mientras investigan.

Muchos intercambios con sede en los Estados Unidos cooperarán con estas solicitudes, dijo Megan Stifel, analista de políticas senior de Global Cyber ​​Alliance. Cumplen con las regulaciones financieras comunes, como “conozca a su cliente”, lo que significa que tienen identificación para los titulares de cuentas.

Pero hay intercambios que deliberadamente ignoran o intentan resistir las solicitudes, o se basan en jurisdicciones que tienen regulaciones laxas o miran para otro lado.

Las autoridades federales lograron recuperar más de $ 2 millones del pago de rescate de $ 4.3 millones de Colonial. En ese caso, dicen los investigadores, los funcionarios parecen haber accedido a una billetera privada que contenía la criptomoneda.

Las billeteras privadas son de difícil acceso porque requieren una clave de cifrado, una larga cadena de números y letras, que solo posee el titular de la billetera. No está claro cómo los funcionarios se apoderaron de la llave de la billetera.

Se necesita la mayor parte de un año, un promedio de 287 días, para que una empresa se recupere por completo de un ataque de ransomware, según un amplio informe de abril de un grupo de más de 60 expertos de la industria, el gobierno, organizaciones sin fines de lucro y el mundo académico conocido como el Grupo de trabajo contra ransomware.

Para muchas empresas, el pago real del rescate ni siquiera es la parte más cara del ataque. Las empresas deben restaurar copias de seguridad, reconstruir sistemas, trabajar con investigadores forenses para asegurarse de que los piratas informáticos estén realmente bloqueados y, en muchos casos, implementar controles de ciberseguridad más estrictos para evitar futuros ataques.

Y los efectos de un ataque pueden trascender las puertas de la empresa y afectar la vida cotidiana de las personas y los servicios cruciales. Los servicios de ferry se interrumpieron en la costa este cuando una infracción provocó la caída de un sistema de emisión de billetes. Las plantas de procesamiento de carne de JBS cerraron temporalmente algunas operaciones cuando un ataque golpeó los sistemas de la empresa.

Los gobiernos de todo el mundo están tratando de encontrar formas de tomar medidas enérgicas, con los países industrializados del Grupo de los Siete comprometidos a trabajar juntos para frustrar los ataques, y la Casa Blanca diciendo que “no está quitando ninguna opción de la mesa” cuando se trata de posibles respuestas a la demora del gobierno ruso en detener la ola de ataques que se originan desde el interior del país.

Varias agencias estadounidenses comenzaron a principios de este año a lanzar iniciativas de ransomware. La agencia de ciberseguridad del Departamento de Seguridad Nacional lanzó en enero una campaña para instar a las organizaciones del sector público y privado a adoptar medidas para reducir el riesgo de ser víctimas de ransomware. El otoño pasado de 2019, esa agencia lanzó una iniciativa similar para alentar a los funcionarios estatales y locales a proteger la infraestructura electoral contra los ataques de ransomware. En abril, el Departamento de Justicia creó un grupo de trabajo para interrumpir el ecosistema criminal que alimenta los ataques de ransomware.

Pero el ataque a Colonial Pipeline impulsó un esfuerzo más concertado cuando la Casa Blanca con el presidente Biden lanzó una iniciativa para abordar los peligros del ransomware. La iniciativa complementa una orden ejecutiva que firmó en mayo para apuntalar las defensas digitales del gobierno federal, que los funcionarios esperan que estimule al sector privado a reforzar las suyas.

Durante una cumbre del 16 de junio en Ginebra, Biden y el presidente ruso Vladimir Putin discutieron los ciberataques y acordaron que los dos países comenzarían conversaciones estratégicas sobre ciberseguridad.

Mientras tanto, los ciberdelincuentes están duplicando los ataques de ransomware, habiéndose demostrado a sí mismos y a otros posibles piratas informáticos que pueden ser extremadamente rentables.

“Hay mucha gente ahí afuera, actores de amenazas maliciosas, que ahora están envalentonados y ciertamente motivados por los altos números que se informan sobre los pagos de ransomware”, dijo Turgal, el experto en ciberseguridad de Optiv. “No va a desaparecer”.

Dalton Bennett y Zach Levitt contribuyeron a este informe. Motion graphics de William Neff .

The Washington Post