Hechos clave:
-
La negociación apeló al regateo, un elemento inusual en el abordaje de este tipo de ataques.
-
Los centros que luchan contra el virus son los nuevos objetivos de los operadores de ransomware.
A finales de junio pasado, la Universidad de California en San Francisco (USCF), Estados Unidos, se vio obligada a pagar 118 bitcoin (USD 1,39 millones) por el rescate de los archivos que contenÃan datos de las investigaciones sobre el Covid-19.
Los servidores de la Facultad de Medicina fueron vÃctimas de un ransonware tipo NetWalker, que pide altos precios de rescate comprometiendo redes y encriptando todos los dispositivos Windows conectados.
Los atacantes inicialmente exigieron un pago de 3 millones de dólares en bitcoin. Un informe, publicado por Bloomberg el miércoles, describe cómo se llevó a cabo el proceso de negociación que incluyó regateo, persuasión y otras estrategias de resolución de conflictos que, finalmente, logró que fueran liberados los valiosos archivos.
La transcripción proporciona una rara mirada sobre la manera de abordar estos tipos de ataques secretos, que generalmente se presentan impersonales como apuntan las estadÃsticas del FBI. La negociación se manejó con mucha similitud a cómo se procede durante un secuestro de carne y hueso de la vieja escuela. La principal diferencia era que los hackers habÃan robado datos, no personas, tal como señala Bloomberg.
La UCSF dijo en su declaración que eligió contratar a un consultor privado para apoyar la «interacción con los intrusos», pero se negó a identificar a una empresa o individuo.
El ataque inició el 1 de junio, cuando bloquearon al menos 7 servidores que pertenecen al campus universitario. De manera inmediata, la UCSF fue capaz de limitar el ataque en el momento en el que se producÃa, poniendo en cuarentena los servidores comprometidos, aislándolos de la red principal, lo cual pudo haber evitado que el daño fuera mayor.
Cuatro dÃas más tarde, los atacantes hicieron contacto dirigiendo la negociación a un determinado sitio en la red oscura donde habrÃan asegurado el chat con una clave digital. Al abrir la ventana del chat, el negociador representante del campus observó una cuenta regresiva que decÃa: 2 dÃas, 23 horas, 0 minutos. Ese era el plazo que los hackers concedÃan para realizar el pago, de no cumplirlo, amenazaban con duplicar el monto de la demanda, de acuerdo con la descripción de Bloomberg que tuvo acceso a la transcripción de la negociación.
En primera instancia, el negociador intentó sensibilizar al atacante señalando que en ese momento la universidad estaba en una carrera contrarreloj para ayudar a desarrollar una vacuna para combatir el Covid-19. También indicó que los investigadores no tenÃan suficientes recursos para responder con el pago de una demanda tan elevada.
«Hemos dedicado casi todos nuestros fondos a la investigación de Covid-19 para ayudar a curar esta enfermedad», dijo el negociador, en comunicación con los hackers a través del chat en lÃnea.
La persuasión y el regateo al rescate de la investigación sobre Covid-19
En respuesta, el operador de ransomware dijo que era imposible que la universidad no tuviera dinero. Pues tenÃan conocimiento de que el campus recauda más de USD 7 mil millones cada año. «Tienes que entender, nuestros precios son elevados por tratarse de una gran universidad como esta», dijeron los atacantes.
Mientras se llevaban a cabo las negociaciones, los piratas informáticos compartieron una muestra de datos del servidor robado que mostraba que tenÃan en su poder información privada de estudiantes. Amenazaron con difundir esa información si no recibÃan el pago en el tiempo señalado.
Durante las negociaciones, la mayor preocupación del directorio de la UCSF giraba en torno a cómo garantizar que una vez realizado el pago, los hackers cumplieran con su promesa de restaurar los servidores bloqueados.
Lo que estaba en juego eran datos académicos relacionados con avances en la investigación del Covid-19, tal como confirmaron las autoridades universitarias. Una persona familiarizada con la investigación dijo a Bloomberg que los atacantes habÃan copiado al menos 20 gigabytes de datos utilizados por el departamento de epidemiologÃa y bioestadÃstica.
Dada la importancia de los documentos, habÃa que rescatarlos a como dé lugar. El primer objetivo que se trazó el negociador fue conseguir más tiempo. Una táctica dilatoria que usan los expertos para evaluar varias opciones antes de decidir si proceder con el pago o no. Los atacantes respondieron a la petición del negociador otorgando otras 48 horas.
La siguiente táctica utilizada por el representante del campus, fue el elogio. Ganar confianza era determinante: «He leÃdo sobre ti en Internet y sé que perteneces a un grupo de piratas informáticos de ransomware muy conocido y profesional. Sé que respetarás tu palabra cuando aceptemos el precio, ¿verdad?», señala la transcripción.
Cuando faltaban pocas horas para consumirse el plazo otorgado por los hackers, el negociador planteó una oferta de USD 780.000 que rechazaron los atacantes: «Use los 780 mil dólares para comprar McDonald’s a todos los empleados. Ese es un número muy pequeño para nosotros. Lo siento. ¿Cómo puedo recibir ese monto? SerÃa como trabajar por nada», respondieron.
Ya para entonces, atacantes y negociador conversaban en un tono más personal. «Espero que sepas que esto no es una broma para mû, respondió el negociador. «No he dormido por unos dÃas porque he estado pensando cómo resolver esto para ti. Fui considerado un fracaso por todos aquà y todo es mi culpa», añadió. «Cuanto más se prolongue esto, más me odio a mà mismo y espero que termine de una forma u otra. Por favor señor, ¿qué podemos hacer?», agregó.
No hay pruebas reales de que esto fuera algo más que una táctica de negociación. De hecho, el artÃculo del referido medio de comunicación señala que no está claro si alguna de las partes era realmente una sola persona; ambas podrÃan ser fácilmente varias personas trabajando por turnos.
En todo caso, la respuesta de los atacantes fue: «amigo mÃo, tu equipo necesita entender que este no es tu fracaso. Todos los dispositivos de Internet son vulnerables». Entonces, el representante de la UCSF respondió: «te escucho y gracias por pensar que no soy un fracaso. DesearÃa que otros aquà vieran lo mismo».
A la mañana siguiente, el 9 de junio, la UCSF ofreció un poco más de un millón de dólares cuando decidió jugar una última carta: «La buena noticia que querÃa compartir es que un amigo cercano de la escuela sabe lo que está pasando y ha ofrecido ayudar y donar 120 mil dólares para ayudarnos. Normalmente no podemos aceptar estas donaciones, pero estamos dispuestos a hacer que funcione solo si está de acuerdo en terminar esto rápidamente. ¿Podemos por favor terminar esto para que ambos podamos finalmente dormir bien?», dijo.
Cerca de cerrar el acuerdo, después de seis dÃas de negociaciones, los hackers dijeron: «¿Cuándo puedes pagar?». Ya con un acuerdo en concreto la UCSF necesitó otro dÃa y medio cerrando el trato por su parte y comprando el Bitcoin. Junto con el acceso a la clave de desencriptación, el acuerdo incluÃa el compromiso de los hackers de transmitir todos los datos que habÃan robado de la red de la universidad.
A los atacantes les tomó casi dos dÃas más para desencriptar, transmitir y mostrar que habÃan borrado sus copias de los archivos, pero finalmente entregaron los datos a las 2:48 a.m. del 14 de junio.
Un virus digital que se aprovecha de la pandemia
El ransomware NetWalker habÃa dejado a otra vÃctima en su camino desde que hizo su nefasta aparición hace un año. Ahora está acechando al mundo en paralelo a como lo hace la pandemia del Covid-19, que busca «romper todo el sistema informático de los hospitales».
NetWalker compromete la red y cifra todos los dispositivos de Windows conectados a ella. Cuando se ejecuta, utiliza una configuración incrustada que incluye una nota de rescate, nombres de archivos y varias opciones de configuración.
Según la empresa de seguridad informática, Panda Security, NetWalker se propaga de dos maneras. Una forma es a través de un script VBS que se ha adjuntado a los correos electrónicos de phishing de Coronavirus que ejecutan la carga útil del rescate una vez que se hace doble clic o abriendo los documentos de oficina que contienen el script en su interior.
El segundo método se produce a través de un archivo ejecutable que se ha difundido en la red, y una vez que ha sido ejecutado por el usuario se activa el ataque. Un reporte de CriptoNoticias señala que la filtración de datos es precisamente la nueva estrategia para presionar pagos de ransomware en bitcoin.