viernes 29, marzo 2024

Jugando Ajedrez con Cibercriminales

Comparte:

A diferencia de República Dominicana, México está expuesto a la perniciosa industria de los secuestros de personas que se mantiene en los niveles más altos del mundo desde hace ya más de 5 décadas. Se estima que 5 mexicanos son secuestrados cada día, según datos de un estudio de la UNAM (2018)[1], igualmente un artículo de febrero de este año de la revista Forbes[2] reporta que el número de víctimas creció un 29.5% en enero del año 2022. Alrededor de estas lamentables circunstancias se producen situaciones que resultan interesantes de analizar:

El criminal establece, basado en su conocimiento, el monto más adecuado a requerir de acuerdo con las posibilidades económicas de la víctima.  Anteriormente, el riesgo de sufrir un secuestro estaba limitado a los mas adinerados, hoy en día el “secuestro exprés” hace a todos víctimas potenciales, no importa su nivel económico.

Una vez afectados por este crimen, ambas partes, perpetrador y víctima, se asisten de negociadores de experiencia, el logro de las metas de cada uno depende de esto. En México, existe una desarrollada industria privada que pone a la disposición de las corporaciones y personas con mayor poder adquisitivo, los activos mas efectivos en la prevención de la ocurrencia de secuestros, pero también en el manejo de la crisis, si ésta se llegara a producir. Una vez producido el secuestro, la negociación es como un juego de ajedrez entre las partes. El premio es la integridad del secuestrado.

En República Dominicana, se ha incrementado escandalosamente el número de casos de secuestro de información o “ransomware” en los últimos meses.

En este tipo de secuestros el activo secuestrado, la información, se queda virtualmente en el mismo sitio en donde estaba, en los ordenadores, pero inaccesible e inservible a los propósitos para lo que fueron creados. Un proceso accionado (pasiva o activamente) por el perpetrador cifró todos los archivos que encontró utilizando una clave secreta y única. Un proceso que solo puede revertirse conociendo la clave con la que se cifró.

La Empresa RG (nombre ficticio) fue víctima de secuestro de información. Las notas dejadas en cada directorio en los equipos secuestrados informan sobre la vía por la que puede ser contactada la persona que conoce la clave con la que se cifró la información. Ahora mismo, ya ninguno de los procesos en los ordenadores afectados puede funcionar.

La empresa está detenida a mitad de la semana. El presidente de la empresa es informado a las 6:15 am. El Financiero, Administrativo y Operaciones han llegado antes de lo habitual, están en el salón de conferencias del presidente y desde allí le han instruido a todo el personal que no enciendan sus ordenadores. T.I en pleno trata de organizar los repositorios donde se encuentran los backups de la compañía, las bases de datos se habían respaldado hace menos de 7 días.

Solo se han respaldado de manera automática, los directorios originales en el servidor de archivos. Los directorios que se han ido creando luego de haber sido configurado el plan de backup de la empresa, no forman parte del plan.

Los datos del día a día, incluyendo el directorio de mercadeo con los planes de negocios, con información confidencial, no estaban en el servidor de archivos, no formaban parte de los backups automáticos, sino que se respaldaban en otro disco en el mismo servidor (previendo que ese disco llegara a fallar). Lamentablemente ambos discos fueron cifrados. A este punto RRHH intervino, recordándole al personal que la discreción es fundamental y que sus empleos dependen de que no salga ninguna información sobre este evento a la calle. El daño reputacional en estos casos es aún más costoso que el evento en sí mismo.

Tres días han pasado y la empresa opera a apenas un 20% de su capacidad, aparentemente la copia de seguridad estaba muy dispersa, hasta los instaladores de las aplicaciones comerciales que hay que reinstalar han sido afectados por el desastre. Hasta el momento, nadie se había planteado pagar a los secuestradores, una acción que el FBI y todas las autoridades aconsejan nunca hacer. ¡De todas maneras, nunca hay garantías!

Los ejecutivos han ido consultando a amigos, colegas y familiares, todos con opiniones distintas. Los mejores expertos ya han descartado obtener mejores resultados más allá de los conseguidos a través de los backups. Las pérdidas continuas hacen considerar la opción de pagar por el rescate. Pero ¿Qué hacer?, ¿Cómo hacerlo?, ¿Es fiable, seguro?, ¿Quién nos ayuda?

 Al igual que en los secuestros de personas, la experiencia y la experticia son fundamentales. Ante el requerimiento de RG fuimos contratados para manejar esta crisis. Hicimos el assessment y el estudio forense de lugar para determinar el origen y las condiciones en la que se produjo el evento. Con los discos replicados en laboratorio, simulamos la situación más probable en la que se produjo la infiltración. Sin lugar a duda, el ataque no fue específicamente dirigido a la empresa GR, (como suele suceder) lo cual favorece considerablemente a la hora de abordar a los defraudadores.

Mantener una estrecha colaboración con aliados del sector de la ciberseguridad internacional es fundamental en la caracterización del tipo de evento y la mejor forma de abordarlo. El Blackcat/ALPHV resultó ser un tipo relativamente reciente de ransomware as a Service o RAAS[3] para el que no se tiene aún ninguna herramienta de descifrado (existen muchas que ya están a la disposición del sector), Las informaciones reveladas por el FBI[4] sobre los indicadores de compromiso (IoCs) y los detalles técnicos encontrados fueron vitales para entender la naturaleza de este evento en particular.

La nota del secuestro especificaba un enlace “ .onion” (en el Dark Web)[5] y durante el primer contacto la suma solicitada fue de US$25,000.00.

A este punto, solo el afectado sabía que la cifra solicitada, comparada con las pérdidas corrientes, pudo haber sido mucho mayor.  La desinformación es una valiosa pieza de ajedrez en este caso. Cualquier información transferida a los secuestradores voluntaria o involuntariamente) pudiera resultar fatal para los fines perseguidos por nosotros.

Armados con todas las variables y habiendo establecido un “war room” en la empresa, nos aprestamos a establecer la vía de comunicación. Con canales seguros, VPN, navegador TOR, iniciamos contactando al servidor especificado que entraba y salía de disponibilidad en horarios variados. Hicimos contacto y luego de amplias discusiones por diferentes medios, incluyendo fórums, mercados en el Dark Web y Signal, la negociación se extendió 2 días completos. Jugando también a no sonar desesperados.

Al final de las negociaciones solo un dato desconcertó a los secuestradores, de acuerdo con el perfil de la persona con quienes ellos creen que hablaban, entendieron que el pago en bitcoins debió habernos tomado mucho más tiempo y no fue así. Tan pronto establecieron una suma aceptable para RG (nombre ficticio) (menos de un 10% de lo pretendido inicialmente) se produjo la transferencia en bitcoins, el comprobante se visualizó en el block Explorer a los pocos minutos.

 Esto pudo haber comprometido la negociación. Lo anotamos para mejorar en próximos casos, afortunadamente el objetivo se logró: preservar la integridad total del activo. La clave de encriptación fue revelada y la información se recuperó en su totalidad, para felicidad de RG (nombre ficticio). Navegar en el mundo de la Dark Web en donde operan estos ciberdelincuentes es impresionante, las actividades que se realizan día a día nos llenan de preocupación. En otra entrega les contaremos los servicios dominicanos que se ofrecen en el “Dark Market”.


[1] https://www.unam.mx/medidas-de-emergencia/secuestros-en-mexico

[2] https://www.forbes.com.mx/noticias-crece-29-5-el-numero-de-victimas-de-secuestro-en-mexico-durante-enero/

[3] https://www.welivesecurity.com/la-es/2022/02/23/ransomware-as-a-service-raas-que-es-como-funciona/

[4] https://www.ic3.gov/Media/News/2022/220420.pdf

[5] https://www.xataka.com/basics/como-funcionan-links-deep-web

Recibe nuestras noticias por correo

Últimas noticias

spot_img

Mira otros tags: