Hechos clave:
-
Las conversaciones con los piratas mostraron un tono de "cordialidad" y hasta empatía.
-
El regateo por el rescate comenzó en USD 10 millones y se pactó en 4,5 millones de dólares.
Un ataque ransomware contra la empresa multinacional de gestión de viajes CWT derivó en que las negociaciones para el pago con bitcoin se hicieran en público. Los hackers ofrecieron hasta un «beneficio» de asesoría técnica para que la compañía no sufra de nuevo una vulnerabilidad de este tipo.
Los piratas utilizaron el ransomware Ragnar Locker para tomar el control de 30.000 computadoras de la empresa, según informaron medios digitales. Al principio los delincuentes solicitaron 10 millones de dólares en bitcoin para restaurar los datos, sin embargo, las negociaciones culminaron con el pago de 4,5 millones de dólares, de acuerdo con la conversación que sostuvo uno de los piratas con el representante de la compañía estadounidense.
Los extorsionadores se habrían adueñado de dos terabytes de información que incluía informes financieros, de seguridad y datos personales de los empleados. En la conversación los hackers se identificaron irónicamente como «Support» (Soporte) desde dónde explicaron cuáles eran los «servicios» que estaban ofreciendo. El primero era decodificar toda la información recolectada y el segundo borrar toda la información descargada en sus servidores.
Como una muestra de su «buena fe» para prestar sus «servicios», los hackers ofrecieron decodificar dos archivos de forma aleatoria «gratis» para que la empresa se percatara de que el software funcionaba.
Para colmo, los piratas ofrecieron un «precio especial» con 20% de descuento si alguien de la empresa respondía en menos de dos días. Además, recibirían un descuento por «pronto pago». Los representantes «agradecieron» la oferta y la «amabilidad» de los delincuentes, pero les informaron que no estaban en posición de pagar los 8 millones de dólares del «precio especial».
El negociador de CWT ofreció 3,7 millones de dólares, pero la oferta fue rechazada por los piratas quienes pidieron USD 4 millones para la decodificación y el resto de los fondos para borrar la información almacenada en sus servidores. En total, los hackers obtuvieron 414 BTC, según un reporte de la agencia Reuters.
Ya en el plano de lo absurdo, el negociador de CWT «agradeció» al pirata por sus «servicios» y el hacker le respondió que era bienvenido y que si tenían otras dudas que podían preguntarle con libertad.
CWT denunció la situación ante autoridades policiales de los Estados Unidos y funcionarios europeos para el resguardo de datos. Además, la empresa dio a conocer que sus sistemas fueron restablecidos una vez realizado el pago.
«Podemos confirmar que después de apagar temporalmente nuestros sistemas como medida de precaución, nuestros sistemas vuelven a estar en línea y el incidente ha cesado. Aunque la investigación se encuentra en una fase inicial, no tenemos indicios de que la información de identificación personal, de clientes y viajeros se haya visto comprometida», dijo CWT en un comunicado.
CWT (antes Carlson Wagonlit Travel) es una empresa global con más de 18.000 empleados activos. Tiene presencia en 145 países y su labor principal es el manejo de viajes corporativos y de negocios.
Ransomware y pagos con bitcoin
Un ransomware es un programa malicioso utilizado por hackers que les permite bloquear computadoras de forma remota, encriptar la información y despojar del control de los datos a las víctimas. Una vez que han logrado restringir el acceso a los archivos, la única forma de recuperarlos es utilizando la propia herramienta de los hackers.
Los pagos con bitcoin, o criptomonedas enfocadas en privacidad como Monero, son usuales entre quienes cometen este tipo de delitos. CriptoNoticias informó en febrero de este año que en seis años se habían pagado 144 millones de dólares en bitcoin por ataques con ransomware.
La oficina federal de investigaciones de los Estados Unidos (FBI) señaló en una investigación que los piratas reciben los pagos y luego son enviados a servicios de mezcladores y casas de cambio de criptomonedas. Al enviar los fondos a los mezcladores los hackers tratan de hacer más difícil el seguimiento y que se determine cuál es el origen de las criptomonedas.
Hay grupos de hackers que al no llegar a un acuerdo con las empresas deciden subastar la información en la dark web. Otros simplemente la publican para que los datos corporativos sean del dominio público.
