Acechan hackers a IP y Gobiernos
Mayo fue un mes negro para empresas y Gobiernos en secuestro de información por hackers.
Entre las víctimas estuvieron el principal proveedor global de carne JBS, la Lotería Nacional de México y Colonial Pipeline, el mayor operador de oleoductos de Estados Unidos.
El gancho: información sobre el Covid o la vacunación, alertas sobre problemas con cuentas bancarias o licencias de software, que son enviados por correo.
Cuando la empresa se da cuenta del secuestro ya es demasiado tarde. Fue víctima de un ransomware.
¡El mundo padece una ola de ciberataques!
El año pasado, hubo más de 96 mil detecciones de ransomware en Latinoamérica, de mil 600 familias y variantes, dijo Miguel Ángel Mendoza, vocero de Infosecurity México y Security Researcher de ESET en la región.
Los países más afectados fueron Perú y México, con 29 y 13.7 por ciento de los ataques, respectivamente. También Argentina, Brasil y Colombia.
"México es uno de los países con importante actividad maliciosa relacionada con el secuestro de información, tanto de campañas de ransomware masivas como dirigidas.
"En 2020 hubo más de 13 mil detecciones de Filecoder en México, con actividad de 230 familias de ransomware y variantes", mencionó.
A nivel mundial hubo 304 millones de ataques ransomware, según el sitio Statista.
Un 54 por ciento de los ataques fue vía spam y phishing, 27 por ciento por prácticas pobres de ciberseguridad y 26 por ciento por falta de capacitación.
Otros fueron contraseñas débiles, protocolos de conexión remota abiertos, sitios maliciosos, credenciales pérdidas o robadas y falta de inversión en ciberseguridad, indica Statista.
Un 53 por ciento de los blancos pagó por recuperar los datos, y 17 por ciento no recuperó la información pese al pago, menciona un estudio global de Kaspersky que incluye a México.
Además, el cibersecuestro no está en la mente de las personas: sólo 40 por ciento de los encuestados oyeron hablar del ransomware en los últimos 12 meses.
Según especialistas, los rescates varían por tamaño de la empresa, cantidad y calidad de información secuestrada.
El año pasado, las cantidades solicitadas para el rescate se triplicaron, dijo Jefferson Gutiérrez, socio líder de Asesoría en Tecnología Forense para KPMG en México.
El costo promedio mundial es de un millón de dólares, detectó KPMG.
Los pagos se piden en criptomonedas, en especial Bitcoin, porque no necesariamente están asociadas a una identificación en el plano físico, lo que hace sencillo el lavado, explicó Marcus Fowler, director de Amenazas Estratégicas en Darktrace.
Los expertos dicen que es poco recomendable pagar el rescate, pues fomenta el delito. En EU se considera como financiamiento al terrorismo.
La negociación es decisión de cada empresa. Pero de aceptarla, los extorsionadores hacen contacto a través de correo electrónico o un aviso que se despliega cuando se intenta abrir un archivo cifrado, donde se deja un correo de contacto.
El cibercriminal está poco abierto a la negociación, cuando se da cuenta de que la empresa está intentando pagar menos, el hacker podría ya no responder o aceptar el pago sin devolver la información, explicó Jorge Osorio, director de CSI y presidente del Capítulo México de (ISC)2, y vocero de Infosecurity México.
¡ALERTA!
Algunos ransomware más conocidos y su forma de operar son:
MAZE O CHACHA
- Surgió en 2019. Amenazan con publicar archivos robados si no pagan.
CONTI O IOCP
- Apareció en 2019-2020. Siguen activos. Los cibercriminales ofrecen ayuda a la víctima a cambio de compromiso de pago. Envían instrucciones para cerrar el agujero en la seguridad.
REVIL, SODIN O SODINOKIBI
- Surge en 2019 en Asia. Usa funciones legítimas de CPU para evadir seguridad. Tiene características de haber sido creado para alquiler. Ostenta récord de rescate: de 50 millones de dólares a Acer.
NETWALKER O MAILTO
- Pone la mira en grandes empresas de logística, grupos industriales, energéticos y otras. Ofrece el ransomware a estafadores solitarios a cambio de una porción de la ganancia.
DOPPELPAYMER
Cómo el FBI recuperó el dinero del rescate de Colonial Pipeline
THE WALL STREET JOURNAL
Después de que Colonial Pipeline Co. pagó el 8 de mayo aproximadamente 4.4 millones de dólares en criptomonedas a hackers que tomaron como rehén a sus sistemas computacionales, el Buró Federal de Investigaciones, o FBI, por sus siglas en inglés, siguió el rastro del dinero digital.
Durante los siguientes 19 días, muestran registros de los tribunales, un agente especial vigiló un libro contable de bitcoin que es visible al público al tiempo que los hackers transferían los 75 bitcoins a otras direcciones digitales. Una transferencia de casi 64 bitcoins el 27 de mayo llegó a una dirección virtual a la que el FBI obtuvo acceso, proporcionando la oportunidad de obtener una orden judicial y arremeter.
El lunes, el Departamento de Justicia de Estados Unidos dijo haber recuperado parte de las criptomonedas, equivalente a alrededor de 2.3 millones de dólares del rescate inicial pagado por Colonial.
La operación demuestra la creciente habilidad técnica de los investigadores para crear disrupción en la infraestructura financiera que ha posibilitado que pandillas de ransomware obtengan cientos de millones de dólares de sus víctimas cada año, indican expertos en ciberseguridad. Pese a la reputación de las criptomonedas como un medio de intercambio difícil de rastrear y útil para criminales y otros grupos que operan fuera del sistema financiero tradicional, los expertos en criptodivisas dicen que a veces son más fáciles de rastrear que divisas fuertes como los dólares estadounidenses.
"No puedes esconderte detrás de una criptomoneda", aseveró Elvis Chan, agente especial asistente a cargo de la división cibernética de la oficina local del FBI en San Francisco.
Funcionarios de alto nivel de la Administración Biden han caracterizado en semanas recientes al ransomware, en que delincuentes bloquean los datos o el sistema computacional de una organización y exigen un pago a cambio, como una amenaza apremiante de seguridad nacional. El miércoles, el director ejecutivo de una compañía cárnica dijo que había pagado 11 millones de dólares de rescate a ciberdelincuentes tras un hackeo que contribuyó al cierre de plantas que procesan aproximadamente una quinta parte del suministro de carne de EU.
El FBI ha compartido pocos detalles sobre cómo incautó una porción de las criptomonedas que Colonial Pipeline pagó a DarkSide, una pandilla de ransomware que investigadores dicen creer que opera en Rusia. Pero registros de los tribunales, junto con entrevistas a analistas, describen el método general bajo el cual los investigadores rastrearon los fondos desde las arcas del operador de oleoductos hasta una dirección de bitcoin a la que tuvieron acceso con una orden judicial.
Las criptomonedas se guardan en cuentas digitales llamadas carteras, que almacenan direcciones para las ubicaciones virtuales de los fondos y las claves privadas, o contraseñas, para acceder a ellas. Mientras que el dinero fiduciario se transfiere de forma privada usando números de identificación y números de cuenta de individuos, los dueños de criptomonedas mueven fondos entre direcciones registradas en un libro contable público conocido como cadena de bloques.
Las criptocarteras ofrecen a los propietarios cierto grado de privacidad personal y libertad de la supervisión fiscal y reguladora en algunos países. Pero las cadenas de bloques son visibles al público, lo que posibilita que investigadores de imposición de la ley y especialistas externos observen cómo se mueven los fondos entre direcciones y a través de mercados, los servicios en línea donde los usuarios pueden comprar o vender valores en cartera o retirar.
"Hemos desarrollado en efecto un mapa de cientos de millones de direcciones de bitcoin asociadas a actores ilícitos en todo el mundo", señaló David Carlisle, director de asuntos de política y regulación en la firma de analítica de cadena de bloques Elliptic.
- Ataca a fabricantes de electrónicos y automóviles, petrolera, organizaciones gubernamentales, incluidos servicios de salud, emergencia y educación.
Fuente: Kaspersky, Bleeping Computer.
Una vez que las víctimas de ransomware transfieren criptomonedas a hackers, sofisticados grupos criminales a menudo distribuyen el dinero entre cientos de otras carteras, explicó Carlisle. Esas transferencias pueden incluir compartir ganancias con hackers afiliados que desarrollan y ofrecen el ransomware en renta, transferir dinero a individuos que lavan fondos ilícitos, o intentos para convertir criptomonedas en dinero fiduciario.
Colonial Pipeline dio a los investigadores las direcciones de bitcoin donde pagó a los hackers el 8 de mayo, con lo que les siguieron la pista, de acuerdo con expedientes judiciales presentados en el Tribunal de Distrito de EU para el Distrito Norte de California. Los hackers trasladaron los fondos a través de al menos seis direcciones más para el día siguiente, muestran los registros.
El 13 de mayo, DarkSide dijo a afiliados que sus servidores y demás infraestructura habían sido incautados, pero no especificó dónde ni cómo. El 27 de mayo, muestran registros del tribunal, una suma que incluía 63.7 bitcoins rastreados al rescate de Colonial llegaron a una dirección final, donde el FBI incautó esta semana esa porción de los fondos.
El FBI indicó en su petición para una orden el lunes que sus investigadores tenían en su posesión la clave privada para esa dirección. Los funcionarios no entraron en detalle sobre cómo obtuvieron la información y un vocero no brindó más comentarios.
La suma recuperada por el FBI probablemente representa una porción del rescate compartido con los afiliados de DarkSide, señaló Pamela Clegg, directora de investigaciones financieras y educación en la firma de analítica de cadena de bloques CipherTrace. El 13 de mayo, el mismo día en que DarkSide afirmó que sus servidores habían sido incautados, los fondos restantes de Colonial que no han sido recuperados por el FBI fueron consolidados con otras criptomonedas ligadas a pagos de rescate en una cartera que ahora tiene alrededor de 108 bitcoins, añadió.
"Todo el mundo tiene la mira puesta en ella para ver si esos fondos son transferidos", dijo Clegg sobre la cartera.
Funcionarios del FBI destacan que las técnicas que emplearon para recuperar parte de los fondos de Colonial pueden utilizarse en casos futuros, incluyendo cuando hackers intentan transferir criptomonedas a través de jurisdicciones poco amistosas en el extranjero.
"El extranjero no es un problema para esta técnica", apuntó Chan, de la oficina local del FBI en San Francisco.
- Sadie Gurman y Dustin Volz contribuyeron a este artículo.
Edición del artículo original