Copyright de la imagen
imágenes falsas

Una importante institución de investigación médica que trabaja en una cura para Covid-19 admitió que pagó a los piratas informáticos un rescate de $ 1.14 millones (£ 910,000) después de una negociación encubierta presenciada por BBC News.

La banda criminal de Netwalker atacó la Universidad de California en San Francisco (UCSF) el 1 de junio.

El personal de TI desconectó las computadoras en una carrera para detener la propagación del malware.

Y un aviso anónimo permitió a BBC News seguir las negociaciones de rescate en un chat en vivo en la web oscura.

Los expertos en seguridad cibernética dicen que este tipo de negociaciones se están llevando a cabo en todo el mundo, a veces por sumas aún mayores, en contra del consejo de las agencias de aplicación de la ley, incluidos el FBI, Europol y el Centro Nacional de Seguridad Cibernética del Reino Unido.

Netwalker solo se ha relacionado con al menos otros dos ataques de ransomware en universidades en los últimos dos meses.

Captura de imagen

El sitio web oscuro de Netwalker utilizado para negociaciones con las víctimas.

A primera vista, su página web oscura parece un sitio web estándar de servicio al cliente, con una pestaña de preguntas frecuentes (FAQ), una oferta de una muestra “gratuita” de su software y una opción de chat en vivo.

Pero también hay un temporizador de cuenta regresiva que llega a un momento en que los piratas informáticos duplican el precio de su rescate o eliminan los datos que han codificado con malware.

Se le indicó que inicie sesión, ya sea por correo electrónico o una nota de rescate que se dejó en las pantallas de las computadoras pirateadas, UCSF recibió el siguiente mensaje, publicado el 5 de junio.

Seis horas después, la universidad solicitó más tiempo y detalles sobre el pirateo que se eliminará del blog público de Netwalker.

Al observar que UCSF ganaba miles de millones al año, los piratas informáticos exigieron $ 3 millones

Pero el representante de UCSF, que puede ser un negociador especialista externo, explicó que la pandemia de coronavirus había sido “financieramente devastadora” para la universidad y les rogó que aceptaran $ 780,000.

Después de un día de negociaciones de ida y vuelta, UCSF dijo que había reunido todo el dinero disponible y podría pagar $ 1.02 millones, pero los delincuentes se negaron a ir por debajo de $ 1.5 millones.

Horas después, la universidad regresó con detalles de cómo había obtenido más dinero y una oferta final de $ 1,140,895.

Y al día siguiente, 116.4 bitcoins fueron transferidos a las billeteras electrónicas de Netwalker y el software de descifrado enviado a UCSF.

UCSF ahora está ayudando al FBI con sus investigaciones, mientras trabaja para restaurar todos los sistemas afectados.

Le dijo a BBC News: “Los datos cifrados son importantes para parte del trabajo académico que realizamos como universidad al servicio del bien público.

“Por lo tanto, tomamos la difícil decisión de pagar una parte del rescate, aproximadamente $ 1.14 millones, a las personas detrás del ataque de malware a cambio de una herramienta para desbloquear los datos cifrados y la devolución de los datos que obtuvieron.

“Sería un error suponer que todas las declaraciones y afirmaciones hechas en las negociaciones son objetivas”.

Copyright de la imagen
iBrave

Captura de imagen

Los piratas informáticos y la universidad negociaron en un chat en vivo en la web oscura

Pero Jan Op Gen Oorth, de Europol, que dirige un proyecto llamado No More Ransom, dijo: “Las víctimas no deberían pagar el rescate, ya que esto financia a los delincuentes y los alienta a continuar sus actividades ilegales.

“En cambio, deberían denunciarlo a la policía para que la policía pueda interrumpir la empresa criminal”.

Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft, dijo: “Las organizaciones en esta situación no tienen una buena opción.

“Incluso si pagan la demanda, simplemente recibirán una promesa rosada de que se eliminarán los datos robados.

“Pero, ¿por qué una empresa criminal despiadada eliminaría datos que podrían monetizar aún más en una fecha posterior?”

La mayoría de los ataques de ransomware comienzan con un correo electrónico atrapado en piquetas y la investigación sugiere que las pandillas criminales utilizan cada vez más herramientas que pueden obtener acceso a los sistemas a través de una sola descarga. Solo en la primera semana de este mes, los analistas de seguridad cibernética de Proofpoint dicen que vieron más de un millón de correos electrónicos con el uso de una variedad de señuelos de phishing, incluidos los resultados falsos de la prueba Covid-19, enviados a organizaciones en los EE. UU., Francia, Alemania, Grecia e Italia.

Se alienta a las organizaciones a realizar copias de seguridad de sus datos regularmente fuera de línea.

Pero Ryan Kalember de Proofpoint dijo: “Las universidades pueden ser entornos difíciles de proteger para los administradores de TI.

“La población estudiantil en constante cambio, combinada con una cultura de apertura e intercambio de información, puede entrar en conflicto con las reglas y controles que a menudo se necesitan para proteger eficazmente a los usuarios y sistemas de los ataques”.