118 bitcoins costó el secuestro de la principal investigación sobre el Covid19

A finales de junio pasado, la Universidad de California en San Francisco (USCF), Estados Unidos, se vio obligada a pagar 118 bitcoin (USD 1,39 millones) por el rescate de los archivos que contenían datos de las investigaciones sobre el Covid-19.

Los servidores de la Facultad de Medicina fueron víctimas de un ransonware tipo NetWalker, que pide altos precios de rescate comprometiendo redes y encriptando todos los dispositivos Windows conectados.

Los atacantes inicialmente exigieron un pago de 3 millones de dólares en bitcoin. Un informe, publicado por Bloomberg el miércoles, describe cómo se llevó a cabo el proceso de negociación que incluyó regateo, persuasión y otras estrategias de resolución de conflictos que, finalmente, logró que fueran liberados los valiosos archivos.

La transcripción proporciona una rara mirada sobre la manera de abordar estos tipos de ataques secretos, que generalmente se presentan impersonales como apuntan las estadísticas del FBI. La negociación se manejó con mucha similitud a cómo se procede durante un secuestro de carne y hueso de la vieja escuela. La principal diferencia era que los hackers habían robado datos, no personas, tal como señala Bloomberg.

La UCSF dijo en su declaración que eligió contratar a un consultor privado para apoyar la “interacción con los intrusos”, pero se negó a identificar a una empresa o individuo.

El ataque inició el 1 de junio, cuando bloquearon al menos 7 servidores que pertenecen al campus universitario. De manera inmediata, la UCSF fue capaz de limitar el ataque en el momento en el que se producía, poniendo en cuarentena los servidores comprometidos, aislándolos de la red principal, lo cual pudo haber evitado que el daño fuera mayor.

Cuatro días más tarde, los atacantes hicieron contacto dirigiendo la negociación a un determinado sitio en la red oscura donde habrían asegurado el chat con una clave digital. Al abrir la ventana del chat, el negociador representante del campus observó una cuenta regresiva que decía: 2 días, 23 horas, 0 minutos. Ese era el plazo que los hackers concedían para realizar el pago, de no cumplirlo, amenazaban con duplicar el monto de la demanda, de acuerdo con la descripción de Bloomberg que tuvo acceso a la transcripción de la negociación.

En primera instancia, el negociador intentó sensibilizar al atacante señalando que en ese momento la universidad estaba en una carrera contrarreloj para ayudar a desarrollar una vacuna para combatir el Covid-19. También indicó que los investigadores no tenían suficientes recursos para responder con el pago de una demanda tan elevada.

“Hemos dedicado casi todos nuestros fondos a la investigación de Covid-19 para ayudar a curar esta enfermedad”, dijo el negociador, en comunicación con los hackers a través del chat en línea.

La persuasión y el regateo al rescate de la investigación sobre Covid-19

En respuesta, el operador de ransomware dijo que era imposible que la universidad no tuviera dinero. Pues tenían conocimiento de que el campus recauda más de USD 7 mil millones cada año. “Tienes que entender, nuestros precios son elevados por tratarse de una gran universidad como esta”, dijeron los atacantes.

Mientras se llevaban a cabo las negociaciones, los piratas informáticos compartieron una muestra de datos del servidor robado que mostraba que tenían en su poder información privada de estudiantes. Amenazaron con difundir esa información si no recibían el pago en el tiempo señalado.

Durante las negociaciones, la mayor preocupación del directorio de la UCSF giraba en torno a cómo garantizar que una vez realizado el pago, los hackers cumplieran con su promesa de restaurar los servidores bloqueados.

Lo que estaba en juego eran datos académicos relacionados con avances en la investigación del Covid-19, tal como confirmaron las autoridades universitarias. Una persona familiarizada con la investigación dijo a Bloomberg que los atacantes habían copiado al menos 20 gigabytes de datos utilizados por el departamento de epidemiología y bioestadística.

Dada la importancia de los documentos, había que rescatarlos a como dé lugar. El primer objetivo que se trazó el negociador fue conseguir más tiempo. Una táctica dilatoria que usan los expertos para evaluar varias opciones antes de decidir si proceder con el pago o no. Los atacantes respondieron a la petición del negociador otorgando otras 48 horas.

La siguiente táctica utilizada por el representante del campus, fue el elogio. Ganar confianza era determinante: “He leído sobre ti en Internet y sé que perteneces a un grupo de piratas informáticos de ransomware muy conocido y profesional. Sé que respetarás tu palabra cuando aceptemos el precio, ¿verdad?”, señala la transcripción.

Cuando faltaban pocas horas para consumirse el plazo otorgado por los hackers, el negociador planteó una oferta de USD 780.000 que rechazaron los atacantes: “Use los 780 mil dólares para comprar McDonald’s a todos los empleados. Ese es un número muy pequeño para nosotros. Lo siento. ¿Cómo puedo recibir ese monto? Sería como trabajar por nada”, respondieron.

Ya para entonces, atacantes y negociador conversaban en un tono más personal. “Espero que sepas que esto no es una broma para mí”, respondió el negociador. “No he dormido por unos días porque he estado pensando cómo resolver esto para ti. Fui considerado un fracaso por todos aquí y todo es mi culpa”, añadió. “Cuanto más se prolongue esto, más me odio a mí mismo y espero que termine de una forma u otra. Por favor señor, ¿qué podemos hacer?”, agregó.

No hay pruebas reales de que esto fuera algo más que una táctica de negociación. De hecho, el artículo del referido medio de comunicación señala que no está claro si alguna de las partes era realmente una sola persona; ambas podrían ser fácilmente varias personas trabajando por turnos.

En todo caso, la respuesta de los atacantes fue: “amigo mío, tu equipo necesita entender que este no es tu fracaso. Todos los dispositivos de Internet son vulnerables”. Entonces, el representante de la UCSF respondió: “te escucho y gracias por pensar que no soy un fracaso. Desearía que otros aquí vieran lo mismo”.

A la mañana siguiente, el 9 de junio, la UCSF ofreció un poco más de un millón de dólares cuando decidió jugar una última carta: “La buena noticia que quería compartir es que un amigo cercano de la escuela sabe lo que está pasando y ha ofrecido ayudar y donar 120 mil dólares para ayudarnos. Normalmente no podemos aceptar estas donaciones, pero estamos dispuestos a hacer que funcione solo si está de acuerdo en terminar esto rápidamente. ¿Podemos por favor terminar esto para que ambos podamos finalmente dormir bien?”, dijo.

Cerca de cerrar el acuerdo, después de seis días de negociaciones, los hackers dijeron: “¿Cuándo puedes pagar?”. Ya con un acuerdo en concreto la UCSF necesitó otro día y medio cerrando el trato por su parte y comprando el Bitcoin. Junto con el acceso a la clave de desencriptación, el acuerdo incluía el compromiso de los hackers de transmitir todos los datos que habían robado de la red de la universidad.

A los atacantes les tomó casi dos días más para desencriptar, transmitir y mostrar que habían borrado sus copias de los archivos, pero finalmente entregaron los datos a las 2:48 a.m. del 14 de junio.

Un virus digital que se aprovecha de la pandemia

El ransomware NetWalker había dejado a otra víctima en su camino desde que hizo su nefasta aparición hace un año. Ahora está acechando al mundo en paralelo a como lo hace la pandemia del Covid-19, que busca “romper todo el sistema informático de los hospitales”.

NetWalker compromete la red y cifra todos los dispositivos de Windows conectados a ella. Cuando se ejecuta, utiliza una configuración incrustada que incluye una nota de rescate, nombres de archivos y varias opciones de configuración.

Según la empresa de seguridad informática, Panda Security, NetWalker se propaga de dos maneras. Una forma es a través de un script VBS que se ha adjuntado a los correos electrónicos de phishing de Coronavirus que ejecutan la carga útil del rescate una vez que se hace doble clic o abriendo los documentos de oficina que contienen el script en su interior.

El segundo método se produce a través de un archivo ejecutable que se ha difundido en la red, y una vez que ha sido ejecutado por el usuario se activa el ataque. Un reporte de CriptoNoticias señala que la filtración de datos es precisamente la nueva estrategia para presionar pagos de ransomware en bitcoin.