17 minute read
CÓMO NEGOCIAR CON UN HACKER?
by aquiaqui33
_¿CÓMO NEGOCIAR CON UN
HACKER?
Advertisement
¿Tu empresa ha sido víctima de un ataque de ransomware? (un código malicioso para secuestrar datos y encriptar archivos). Pues olvídate de negociar con un hacker con el rostro bañado por la luz de una lámpara. Al otro lado hay organizaciones criminales que usan modelos de negocio legales, con programas de afiliación y atención al cliente, duras de pelear. Hablamos con expertos y víctimas para hacer una foto de la ciberdelincuencia actual.
_POR RAFA GALÁN
-HOLA, ¿qué tenemos que hacer para que borres nuestros datos de tus servidores y podamos descifrar nuestros archivos? -¡Hola! Tienes infectados y bloqueados 30.000 dispositivos en varios países. Nuestro precio incluye dos servicios. Por un lado, un software para desencriptar archivos y, por otro, borrar tus datos de nuestros servidores. Si contratas ambos servicios, tienes que pagar 10 millones de dólares en bitcoins antes de que el contador que hemos instalado en tu home se ponga a cero. Después de pagar te daremos los detalles de cómo entramos en tu perímetro de seguridad y unos consejos para que puedas mejorar tus medidas. –Y ¿cómo sabemos que ese software funciona? –Entendemos tu preocupación. Por eso estamos dispuestos a desencriptar dos archivos aleatoriamente gratis para demostrar que el programa funciona. –En el mensaje inicial nos decías que si nos poníamos en contacto con ustedes en menos de dos días habría un precio especial. No puede ser que los 10 millones de dólares sean el “precio especial”, ¿verdad? –Ese precio no es el especial. Es la cantidad estándar para una empresa de su tamaño y, probablemente, mucho más barato que los gastos de una acción legal y la pérdida de reputación provocada por la filtración de datos. Y sí, puesto que respondieron en plazo y están dispuestos a realizar el pago ya, podemos hacer ese descuento. –Apreciamos el descuento y las amables palabras, pero esperábamos una cifra para la que tuviéramos dinero en efectivo. Entiendo que para ustedes esto es un negocio, pero ahora mismo mi principal preocupación es mantener mi negocio a fote. Ocho millones de dólares nos obligan a duplicar nuestros ingresos para poder seguir funcionando. Estamos en disposición de pagar 3,7 millones hoy. Solo estoy tratando de prevenir despidos en nuestra empresa. –Apreciamos tu oferta, pero nos tienes que entender a nosotros. Este es el mercado y les hemos ofrecido un cantidad que nos propones no es sufciente para cerrar el trato. Les hicimos un descuento del 20% no porque estemos dispuestos a negociar a la baja, sino porque nos gusta el espíritu de su empresa. Podemos ofrecerles una rebaja extra del 5% y cubrir nosotros el costo de las instalaciones. Si nos pagas cuatro millones de dólares ya, podrás tener el desencriptador, y cuando pagues el resto del dinero, borraremos sus datos de nuestros servidores. –Muchas gracias por hacer todo esto tan rápido. –De nada. Es un placer trabajar con profesionales. Si tienes alguna duda, no tengas reparo en preguntar.
Esta es la conversación en tiempo real que mantuvieron el responsable de la negociación de un ataque de ransomware a una empresa del sector turístico con el responsable de “atención al cliente” del grupo de hackers que cifró la información de la compañía y robó sus datos, amenazando con hacerlos públicos, entre las 00:24 horas del 27 de julio y las 01:23 horas del 28 de julio de 2020. Lo importante de toda esa conversación está precisamente hacia la mitad, en el momento en el que se produce la doble extorsión: cifrado más exposición de datos. La empresa aceptó el pago. Esta es la clave que explica cómo es posible que las empresas no tengan más opción que pagar cuando sufren un ataque de ransomware. Y sí, el tono coloquial y la falsa amabilidad son reales y habituales en las negociaciones.
NADIE ESTÁ A SALVO “El ransomware [o software secuestrador] no es algo nuevo. Salió del radar público y volvió a resurgir un poco después de los ataques de WannaCry [en mayo de 2017], hacia 2019, con la doble y triple extorsión. Dentro de la industria, sin embargo, siempre lo hemos visto bastante activo. Antes, cuando te infectaban, te decían: ‘O pagas o te quedas sin tus datos’. Esta gente se dio cuenta de que sí, además, liberaban tus datos forzaban a las empresas a enfrentarse a pagar multas.
Eso por no hablar de que podían así exponer información que le podía interesar a la competencia, con lo que la amenaza de publicar esa información se convirtió en una segunda extorsión. Y luego entró en juego la tercera: si no pagas en 48 horas, te hacen ataques de denegación de servicio. Mientras no pagues, el portal de login de tus clientes va a estar caído. Son formas de provocar el pago”, explica Víctor Acin, responsable del departamento de ciberinteligencia en Blueliv, una de las empresas internacionales más importantes en el análisis de ciberataques, con sede en Barcelona. Acin es experto en análisis inverso de estos ataques. Antes, además, había sido un hacker ético.
El 6 de mayo de 2021, Colonial Pipeline, gigante estadounidense que transporta gasolina, diésel y combustible para aviones a través de sus oleoductos (prácticamente la mitad del consumo de EEUU pasa por sus conductos), sufrió un ataque de ransomware por parte de DarkSide, una organización que ya se ha disuelto y que probablemente se estará reorganizando con otro nombre, y que afectó a toda su red de ordenadores. El ataque bloqueó el suministro de combustible para el 45% de los estadounidenses. Se declaró el estado de emergencia y DarkSide cobró un rescate de 4,4 millones de dólares. La consecuencia directa fue que el presidente de EEUU, Joe Biden, declaró el cibercrimen como un acto de terrorismo, no como un tipo de delito independiente.
Ese mismo mes, la aseguradora AXA sufrió un ataque parecido en Asia. Fue obra de Avaddon, otro de los principales grupos de malware, también disuelto. Avaddon se hizo con tarjetas de identifcación, copias de pasaportes, reclamaciones de clientes, información de pagos, contratos, todas las identifcaciones de los clientes y los papeles escaneados de sus cuentas bancarias, investigaciones por fraude en hospitales e informes médicos (incluidos los de VIH, hepatitis, ETS...). Hasta ese punto fue importante el ataque.
En paises como España, por ejemplo, en el plazo de cuatro meses (entre marzo y junio de 2021), el Ministerio de Trabajo ha sufrido dos ataques con el programa de chan-
taje Ryuk. El primero de ellos, al SEPE, por poco dejó sin cobrar durante un mes a los desempleados en plena crisis pandémica. Lo más curioso es que Ryuk es una evolución de otro software, Hermes, desarrollado cinco años antes. Y es que estos ataques se están convirtiendo en una noticia cotidiana ahora, pero no son un fenómeno nuevo. Lleva madurando a lo largo de los últimos 10 años. Y sus orígenes se remontan una década atrás, al año 2000.
HISTORIA DEL LADO OSCURO El malware nació en los años 90 básicamente para que los mejores programadores pudieran sacar pecho. Hasta que se desarrolló la banca online y se vio la posibilidad de sacar dinero.
Desde entonces y en solo dos décadas, han alcanzado una estructura empresarial compuesta por distintos modelos de negocio (suscripción, softwareasaservice, consultores independientes...) y compartimentos: los que detectan vulnerabilidades de las empresas, los que crean el software, los que distribuyen, lavan el dinero, negocian con las empresas directamente, gestionan el momento del pago (en criptomonedas) o los que coordinan todo el tinglado y se llevan el dinero.
Y se ha llegado a un punto de madurez tal que incluso tienen programas de afliados. Un grupo de hackers crea un malware y busca al resto de actores (los que encuentran vulnerabilidades, los que negocian, etc.) públicamente (es un decir) en la dark web. Dicen, sin esconderse: “Esto es lo que es capaz de hacer mi software [que, por supuesto, es mejor que el de la competencia]. Si eres bueno y tienes alguna habilidad para realizar un ataque, vente con nosotros. Y para que veas nuestra buena fe, cada vez que actuemos pondremos un seguro, de tal forma que si pillan a una parte, el resto cobrará por los servicios prestados”.
“De forma que si tú eres bueno entrando en empresas, no tienes por qué estar molestándote en desarrollar el malware, mantener la infraestructura, hacer toda la parte de customer support para cuando la empresa contacte y negociar. De todo eso se ocupa el grupo principal. Al fnal imitan la realidad”, apunta Acin. Esos programas de afliados hacen luego pruebas a los candidatos para confrmar su valía. Hay grupos que son abiertos, como LockBit, y otros que son más selectos y que no se publicitan de forma tan activa.
Y llegados a este punto, se nos plantean dos preguntas importantes: ¿cómo es posible que este mercado haya llegado a tal nivel de madurez?, ¿cómo es posible que se haya llegado a un punto en el que pagar sea la única opción?
UN NEGOCIO EN AUGE En realidad algo sí se puede negociar. Las cantidades pueden subir o bajar en función de lo rápido que se pague, y de la prevención de la empresa atacada: si es capaz de recuperar parte de la información o descubrir rápido de dónde viene el ataque puede solicitar una rebaja. Pero en todos los casos, una vez que se produce el secuestro, no hay más opción que pagar. No existe una alternativa. Al menos para las grandes empresas, en las que se están centrando estos ataques. ¿La razón? Pueden pagar más dinero y más rápido. Con un incentivo extra: un secuestro a una empresa puede afectar también a muchos de sus proveedores. Y si esos proveedores se llaman Amazon o Microsoft, el grado de presión que se puede llegar a ejercer es enorme.
“Hasta hace poco toda esta gente trataba de pasar desapercibida. La venta de programas malignos no es para nada nueva. La diferencia está en que antes se hacía en foros cerrados y había que trabajar para llegar hasta ahí. Pero desde hace dos años, con la aparición del ransomware, se han envalentonado. Ya no quieren pasar desapercibidos. Y esto les permite que este negocio, que no es que se haya consolidado recientemente sino que llevaba años trabajándose, haya salido a la luz como si fuera algo nuevo. El hecho de que tengas un desarrollador en particular para hacer una pieza de malware y otro para la distribución ya era algo que habíamos detectado nosotros en 2015”, dice Víctor Acin. Y continúa: “También es cierto que el hecho de que sea más conocido atrae a más gente. Además, en el proceso de afliados, por ejemplo, para demostrar que valen su peso en oro, dejan un depósito a modo de seguro por si algo sale mal. Así, si arrestan a unos, los demás cobran al menos una parte. DarkSide había dejado 300.000 dólares en el caso del ataque del oleoducto de EEUU”.
Por su parte, Blueliv ha estudiado recientemente lo que se conoce en el sector del cibercrimen como Initial Access Brokers. Estos son agentes libres que detectan _Les abres la vulnerabilidades y las venden a grupos de malware. “Los agentes de acceso inicial se benefcian de la venta de acceso remoto a redes corporativas en foros clandestinos, como Exploit, XSS o Raidforums. El tipo de accesos puerta o la ofrecidos son principalmente protocolos de escritorio remotos (RDP por sus siglas en inglés), VPN o herramientas de software de acceso remoto ofrecidas por empresas puerta estaba como Citrix, Pulse Secure, Zoho o VMware. Sin embargo, los actores de amenazas también están vendiendo información y herramientas para realizar intrusiones en las empresas mediante inyecciones de SQL (dominio mal y han diseñado para administrar y recuperar información de sistemas de gestión de bases de datos), exploits de ejecución remota de código (cuando un atacante explota un error en el sistema e introduce un programa maligno) y entrado.otras vulnerabilidades”, explican los expertos de Blueliv en un reciente análisis. “Desde 2020, ha habido un gran aumento en la venta de accesos a la red, probablemente impulsado por dos factores: la situación de la fuerza laboral remota derivada de la pandemia y el aumento de los ataques de ransomware”, matizan.
“De cara a conseguir acceso hemos visto tres técnicas, principalmente: vulnerabilidades de infraestructura, credenciales robadas y ataques de ingeniería social (hablan con los empleados de la empresa para tomarles el pelo y poder acceder a su sistema informático). Normalmente, las credenciales robadas suelen empezar con ingeniería social: te llega un correo con un adjunto y al abrirlo suelta un bicho que te roba las credenciales, que se envían a un servidor donde el malo ya hace lo que quiera con esa información. Esas son las fuentes de infección para casos de ransomware”, explica Acin.
Como cualquier sector, este también ha evolucionado. “Cuando se empezó a experimentar con ransomware, lo que estaba de moda era un malware muy sofsticado, los troyanos bancarios, capaces de redirigir las transferencias. Al principio, era un poco como el salvaje Oeste: atacaban a todo lo que podían, y si alguien picaba y pagaba, estupendo. Pero se dieron cuenta de que la mitad de las veces no pagaban e implicaba un tiempo que podían invertir en otra cosa. El payout de una empresa de 150 empleados, ¿qué te puede dar? ¿20.000 o 30.000 dólares? De ahí se pasó a cazar ballenas, a buscar un objetivo bien pensado, lanzar ataques bien estructurados que puedan dar un benefcio gordo. Ahí es cuando empiezan a surgir los Initial Access Brokers, que propician ataques dirigidos, ataques con cabeza”, explica Acin.
“España, en particular, resulta un caso interesante. Es un target muy jugoso por el idioma, un objetivo para todos los hispanohablantes, principalmente al estar dentro de la Unión Europea. Uno de los motivos fundamentales para buscar empresas que estén dentro de la Unión Europea es que están sujetas a la ley RGPD (Reglamento General de Protección de Datos). Los hackers se aprovechan de las multas que le pueden llegar a una empresa por exposición y fltrado de datos de RGPD, de hasta 20 millones de euros, para forzar el pago. Y obviamente, es más fácil engañar a las empresas si hablas el idioma”, apunta Acin. “La multa viene si no has tomado medidas sufcientes para protegerte a ti, tus datos y a tus clientes. Los que pican son los que tienen más que perder con las multas. Cuanto más dinero ganan los cibercriminales, más dinero tienen para contratar talento”, añade. Las Pymes también son objeto de ataques de ransomware, y el modus operandi es el mismo para todas las empresas. Jordi Serra, experto en hacking y forense de ciberataques a medianas empresas, explica que en este segmento “entran a través de terceros de confanza, muchas veces proveedores. Si recibes un correo electrónico con una factura de un proveedor es más fácil que bajes la guardia. El ciberdelincuente entra en los ordenadores de ese proveedor y te envía una factura con un troyano dentro”. Serra pone el ejemplo de algo tan “inofensivo” como la empresa de suministro de botellas de agua de una Pyme. “Como conocen a esa persona, abren el correo. Imagínate que recibes una factura y dos días después llega un correo de esa misma persona que te dice que la factura era incorrecta y que te envía la nueva. La vas a abrir seguro. Y en ese correo viene el troyano.
O cuando llega un proveedor con un portátil a tu empresa y se conecta a tu red porque necesita enviar un correo o imprimir un documento. Y lleva un troyano que en cuanto entra en el sistema se pone a buscar un servidor de Windows, un servidor de Linux con una vulnerabilidad concreta. Salta a la red, y contagia a la empresa. Por eso se llaman virus”, dice Serra. “Además, piensa que atacan empresas concretas. Se hace un primer ataque en el que solo entran y se dedican a ver qué hay dentro. Buscan luego a empleados en LinkedIn, en Twitter... y hacen un mapa
con todas esas personas. De esa manera, se pueden hacer pasar por empleados, por jefes, por proveedores”, advierte este experto. Muchos ataques de ransomware empiezan con un correo de un compañero conocido antes de una reunión que te dice que te descargues un documento antes de entrar en ella.
PAGAR O NO PAGAR “En realidad solo hay dos modus operandi. Cuando te atacan dices: ‘Hay mil formas de que te ataquen’. Pero no: o lo provocas tú, porque le has dado a un enlace, has abierto un ejecutable y le has dado con el dedo, o han aprovechado una vulnerabilidad en tu sistema. Era vulnerable y se podía entrar. Le abres la puerta o la puerta estaba mal y entraron”, explica Sergio de los Santos, unos de los principales expertos internacionales en ciberseguridad.
De una forma o de otra, “los ciberdelincuentes no entran en la empresa y atacan. Pasan mucho tiempo mirando lo que hay, viendo qué información pueden utilizar. Cuando lo tienen claro, lo hacen, se van y piden el rescate. Para cuando te cifran, ya han pasado 15 días antes dentro de tu red. Durante ese tiempo aprovechan para crear puertas traseras, para poder volver a entrar. Por eso es importante, al sufrir un ataque, analizarlo. A lo mejor hay un ordenador que no se ha cifrado, pero tiene una puerta de atrás para un nuevo ataque”, sigue. “En muchos troyanos se dejan comentarios de uno para otro: ‘Hay que cambiar esto, hay que actualizar esto’”, añade Serra. Hay empresas que ahora mismo se dedican a crear programas maliciosos o ataques a medida. E incluso actores independientes que cobran una cuota por el uso de su malware, como el popular Dr. Predator, que cuenta incluso con un contacto en Telegram. Pero ¿por qué no contactar con Telegram y pedir el contacto para darle caza?
“Pídele un dato a Telegram”, ironiza uno de los forenses que hemos entrevistado para este artículo, que prefere mantenerse en el anonimato. “No te lo van a dar. Y pídele a un proveedor ruso información de la IP en la que van los datos. Ese problema geopolítico no está solucionado. No es que no haya penas, sino que es muy improbable que te atrapen. Lo hacen con los que programan, que no son la cúpula y son fáciles de reemplazar. En internet es difícil que funcionen no ya las leyes de extradición, sino las de información”, sigue este experto. Además, al problema de la legislación de protección de datos en algunos países se suma la difcultad cuando los casos están en manos de las autoridades en países donde no hay leyes de extradición, donde hay corrupción o donde sencillamente no les interesa facilitar información, porque la mayoría de los ataques provienen de países de Europa del Este, Asia y Rusia. “Una de las razones por las que ha podido consolidarse el modelo es debido a los países desde los que operan.
Muchos de los grupos de ransomware tienen ya pactado, incluso en los programas de afliados, no atacar a países de la antigua Unión Soviética. El software tiene incluso detectores de lenguaje. Y si estás en un país sin extradición y no haces daño en ese país e inyectas dinero, aunque sea una practica ilegal, es muy difícil que te paren”, plantea Acin. ¿Y las aseguradoras no pueden hacer nada? “Si acudes al seguro, estás alimentando el modelo, y al modelo hay que estrangularlo. Que no haya forma de pagar y que para el atacante no sea rentable”, responde Sergio de los Santos. Entonces ¿cómo combatirlo? “Eso está por descubrir. Está claro que no puede ser solo desde el punto de vista técnico. Tiene que haber también un cambio legislativo. Que sea penado fuertemente, como ha hecho Joe Biden en EEUU, declarando como terrorismo el cibercrimen. O incluso que el Estado se involucre para que a una empresa no le resulte tan caro no pagar: que tenga acceso a ayudas”, plantea De los Santos. “En EEUU, pagar el rescate puede, incluso, desgravar. Pero mientras el pago no esté contemplado por la ley, las empresas seguirán pagando. Para cuando te cifran, ya te han robado los datos”, concluye Acin. Pero ¿se puede no pagar?
“No negocié en ningún momento. No pago rescates. No sé en otra situación, con un ser humano, pero lo tuve claro. Eso sí, tuve que empezar desde cero. Tuvimos que volver a montar la estructura informática y todo nuestro catálogo de referencias desde cero”, nos cuenta Jorge (es un nombre falso), propietario de una pequeña cadena de tiendas que fue víctima de un ransomware hace tres años. “El esquema es el de un secuestro clásico. Me ofrecían incluso una prueba de vida, como si fuera el periódico del día, para saber que el secuestrado estaba vivo. Me ofrecían desencriptar diez archivos que yo eligiera, pero no podían sumar, en conjunto, más de dos megas, una cantidad de espacio muy pequeña. Nunca les respondí”, añade Jorge.
Así que poder, se puede, pero ¿cuántas empresas se lo pueden permitir sin que esto las lleve al cierre?
