211service.com
Los piratas informáticos del ransomware Colonial Pipeline tenían un arma secreta: empresas de ciberseguridad autopromocionadas
Cinco meses antes de que DarkSide atacara el oleoducto Colonial, dos investigadores descubrieron una forma de rescatar a sus víctimas de ransomware. Luego, el anuncio de una empresa antivirus alertó a los piratas informáticos.
Drew Angerer/Getty Images
24 de mayo de 2021El 11 de enero, la compañía de antivirus Bitdefender dijo que estaba feliz de anunciar un avance sorprendente. Había encontrado una falla en el ransomware que una pandilla conocida como DarkSide estaba usando para congelar las redes informáticas de docenas de empresas en los EE. UU. y Europa. Las empresas que enfrentan demandas de DarkSide podrían descargar una herramienta gratuita de Bitdefender y evitar pagar millones de dólares en rescate a los piratas informáticos.
Pero Bitdefender no fue el primero en identificar este defecto. Otros dos investigadores, Fabian Wosar y miguel gillespie , lo había notado el mes anterior y había comenzado discretamente a buscar víctimas para ayudar. Al dar a conocer su herramienta, Bitdefender alertó a DarkSide sobre el lapso, que implicó reutilizar las mismas claves digitales para bloquear y desbloquear múltiples víctimas. Al día siguiente, DarkSide declaró que había reparado el problema y que las nuevas empresas no tenían nada que esperar.
Un agradecimiento especial a BitDefender por ayudarnos a solucionar nuestros problemas, dijo DarkSide. Esto nos hará aún mejores.
DarkSide pronto demostró que no estaba mintiendo, desatando una serie de ataques. Este mes, paralizó Colonial Pipeline Co., lo que provocó una apagar del oleoducto de 5500 millas que transporta el 45 % del combustible utilizado en la costa este, seguido rápidamente por un aumento en los precios de la gasolina, compra de gasolina por pánico en todo el sureste y el cierre de miles de estaciones de servicio. Sin el anuncio de Bitdefender, es posible que la crisis se haya contenido y que Colonial haya restaurado silenciosamente su sistema con Wosar y la herramienta de descifrado de Gillespie.
En cambio, Colonial pagó a DarkSide 4,4 millones de dólares en Bitcoin por una clave para desbloquear sus archivos. Admito que no me sentía cómodo viendo que el dinero salía por la puerta para personas como esta, dijo el director ejecutivo Joseph Blount al Wall Street Journal.
La oportunidad perdida fue parte de un patrón más amplio de respuestas fallidas o poco entusiastas a la creciente amenaza del ransomware, que durante la pandemia ha inhabilitado empresas, escuelas, hospitales y agencias gubernamentales en todo el país. El incidente también muestra cómo las empresas de antivirus ansiosas por hacerse un nombre a veces violan una de las reglas fundamentales del juego del gato y el ratón de la guerra cibernética: no dejes que tus oponentes sepan lo que has descubierto. Durante la Segunda Guerra Mundial, cuando el servicio secreto británico se enteró a través de comunicaciones descifradas de que la Gestapo planeaba secuestrar y asesinar a un valioso agente doble, Johnny Jebsen, no se le permitió a su controlador advertirle por temor a que el enemigo le diera una pista de que su clave había sido agrietado. Hoy en día, los cazadores de ransomware como Wosar y Gillespie intentan prolongar la ignorancia de los atacantes, incluso a costa de contactar con menos víctimas. Tarde o temprano, cuando los pagos caen, los ciberdelincuentes se dan cuenta de que algo salió mal.
Ya sea para promocionar una herramienta de descifrado es una decisión calculada, dijo Rob McLeod, director senior de la unidad de respuesta a amenazas de la firma de seguridad cibernética eSentire. Desde la perspectiva del marketing, estás cantando esa canción a los cuatro vientos sobre cómo se te ocurrió una solución de seguridad que descifrará los datos de una víctima. Y luego el ángulo del investigador de seguridad dice: 'No reveles ninguna información aquí. Mantenga los errores de ransomware que hemos encontrado que nos permiten decodificar los datos en secreto, para no notificar a los actores de amenazas.

En una publicación en la web oscura, DarkSide agradeció a Bitdefender por identificar una falla en el ransomware de la pandilla. (Resaltado agregado por ProPublica).
Wosar dijo que la publicación de herramientas, como lo hizo Bitdefender, se ha vuelto más riesgosa a medida que los rescates se han disparado y las pandillas se han vuelto más ricas y más hábiles técnicamente. En los primeros días del ransomware, cuando los piratas informáticos congelaban las computadoras domésticas por unos pocos cientos de dólares, a menudo no podían determinar cómo se descifró su código a menos que se les señalara específicamente la falla.
Hoy, los creadores de ransomware tienen acceso a ingenieros inversos y probadores de penetración que son muy capaces, dijo. Así es como obtienen acceso a estas redes, a menudo altamente seguras, en primer lugar. Descargan el descifrador, lo desensamblan, le aplican ingeniería inversa y descubren exactamente por qué pudimos descifrar sus archivos. Y 24 horas después, todo está arreglado. Bitdefender debería haberlo sabido mejor.
Historia relacionada
¿Podría la crisis del ransomware obligar a tomar medidas contra Rusia? La vista gorda de Moscú hacia los ciberdelincuentes ha hecho inevitable la escalada de ataques, dicen los expertos. Pero cambiar el enfoque es más fácil decirlo que hacerlo.
No era la primera vez que Bitdefender anunciaba una solución a la que Wosar o Gillespie se le habían adelantado. Gillespie había descifrado el código de una variedad de ransomware llamada GoGoogle y estaba ayudando a las víctimas sin fanfarria, cuando Bitdefender lanzó un descifrado. herramienta en mayo de 2020. Otras compañías también han anunciado públicamente avances, dijeron Wosar y Gillespie.
La gente está desesperada por una mención en las noticias y las grandes empresas de seguridad no se preocupan por las víctimas, dijo Wosar.
Bogdan Botezatu, director de investigación de amenazas en Bitdefender, con sede en Bucarest, Rumania, dijo que la compañía no estaba al tanto del éxito anterior en el desbloqueo de archivos infectados por DarkSide.
Independientemente, dijo, Bitdefender decidió publicar su herramienta porque la mayoría de las víctimas que caen en el ransomware no tienen la conexión correcta con los grupos de soporte de ransomware y no sabrán dónde pedir ayuda a menos que puedan aprender sobre la existencia de herramientas de los informes de los medios. o con una simple búsqueda.
Bitdefender ha brindado soporte técnico gratuito a más de una docena de víctimas de DarkSide, y creemos que muchos otros han utilizado con éxito la herramienta sin nuestra intervención, dijo Botezatu. A lo largo de los años, Bitdefender ha ayudado a particulares y empresas a evitar pagar más de 100 millones de dólares en rescates, dijo.
Bitdefender reconoció que DarkSide podría corregir la falla, dijo Botezatu: Somos muy conscientes de que los atacantes son ágiles y se adaptan a nuestros descifradores. Pero DarkSide podría haber detectado el problema de todos modos. No creemos en los descifradores de ransomware disponibles de forma silenciosa. Los atacantes se enterarán de su existencia haciéndose pasar por usuarios domésticos o empresas necesitadas, mientras que la gran mayoría de las víctimas no tendrán idea de que pueden recuperar sus datos de forma gratuita.
El ataque al Oleoducto Colonial , y el consiguiente caos en las bombas de gasolina en todo el sureste, parece haber incitado al gobierno federal a estar más atento. El presidente Joe Biden emitió una orden ejecutiva para mejorar la seguridad cibernética y crear un plan para una respuesta federal a los ataques cibernéticos. DarkSide dijo que se estaba cerrando bajo la presión de los EE. UU., aunque los equipos de ransomware a menudo se han disuelto para evitar el escrutinio y luego se han vuelto a formar con nuevos nombres, o sus miembros han lanzado o se han unido a otros grupos.
A pesar de lo sofisticados que son, estos tipos volverán a aparecer y serán mucho más inteligentes, dijo Aaron Tantleff, un abogado de seguridad cibernética de Chicago que ha consultado con 10 empresas atacadas por DarkSide. Volverán con una venganza.
'La gente está desesperada por una mención en las noticias y las grandes empresas de seguridad no se preocupan por las víctimas'.
Fabian Wosar, equipo de caza de ransomware
Al menos hasta ahora, los investigadores y las empresas privadas a menudo han sido más eficaces que el gobierno en la lucha contra el ransomware. En octubre pasado, Microsoft interrumpió la infraestructura de Trickbot, una red de más de 1 millón de computadoras infectadas que difundía la notoria variedad de ransomware Ryuk, al deshabilitar sus servidores y comunicaciones. Ese mes, ProtonMail, el servicio de correo electrónico con sede en Suiza, cerró 20 000 cuentas relacionadas con Ryuk.
Wosar y Gillespie, que pertenecen a un grupo mundial de voluntarios llamado Ransomware Hunting Team, han descifrado más de 300 cepas y variantes importantes de ransomware, lo que ha evitado que unos 4 millones de víctimas paguen miles de millones de dólares.
Por el contrario, el FBI rara vez descifra el ransomware o arresta a los atacantes, que generalmente se encuentran en países como Rusia o Irán que carecen de acuerdos de extradición con los EE. UU. Se cree que DarkSide, por ejemplo, opera desde Rusia. Muchas más víctimas buscan ayuda del Equipo de Caza, a través de sitios web mantenidos por sus miembros, que del FBI.
El Servicio Secreto de EE. UU. también investiga el ransomware, que cae dentro de su ámbito de lucha contra los delitos financieros. Pero, especialmente en años electorales, a veces rota a los agentes de las asignaciones cibernéticas para llevar a cabo su misión más conocida de proteger a los presidentes, vicepresidentes, candidatos de los principales partidos y sus familias. Las fuerzas del orden europeas, especialmente la Policía Nacional holandesa, han tenido más éxito que los EE. UU. en el arresto de atacantes y la incautación de servidores.
Historia relacionada
Una ola de ransomware golpea los hospitales de EE. UU. a medida que aumenta el coronavirus Un ataque oportunista y sin precedentes plantea una pregunta inquietante: ¿Costará una vida?De manera similar, el gobierno de los EE. UU. solo ha logrado avances modestos al presionar a la industria privada, incluidas las empresas de oleoductos, para fortalecer las defensas de seguridad cibernética. La supervisión de la seguridad cibernética se divide entre una sopa de letras de agencias, lo que dificulta la coordinación. El Departamento de Seguridad Nacional realiza evaluaciones de vulnerabilidad para infraestructura crítica, que incluye tuberías.
Revisó Colonial Pipeline alrededor de 2013 como parte de un estudio de lugares donde un ataque cibernético podría causar una catástrofe. El oleoducto se consideró resistente, lo que significa que podría recuperarse rápidamente, según un exfuncionario del DHS. El departamento no respondió a las preguntas sobre revisiones posteriores.
Cinco años después, el DHS creó un canal de seguridad cibernética iniciativa para identificar las debilidades en los sistemas informáticos de tuberías y recomendar estrategias para abordarlas. La participación es voluntaria y una persona familiarizada con la iniciativa dijo que es más útil para las empresas más pequeñas con limitada experiencia interna en TI que para las grandes como Colonial. El Centro Nacional de Gestión de Riesgos, que supervisa la iniciativa, también lidia con otros espinosos asuntos como la seguridad electoral.
El ransomware se ha disparado desde 2012 , cuando la llegada de Bitcoin dificultó el seguimiento o el bloqueo de pagos. Las tácticas de los delincuentes han evolucionado desde campañas indiscriminadas de rociado y oración que buscan unos pocos cientos de dólares cada una hasta empresas específicas, agencias gubernamentales y grupos sin fines de lucro con demandas multimillonarias.
Los ataques a las empresas de energía en particular han aumentado durante la pandemia, no solo en los EE. UU., sino también en Canadá, América Latina y Europa. Como las empresas permitieron que los empleados trabajaran desde casa, relajaron algunos controles de seguridad, dijo McLeod.
DarkSide adoptó lo que se conoce como un modelo de ransomware como servicio. Bajo este modelo, se asoció con afiliados que lanzaron los ataques. Los afiliados recibieron del 75% al 90% del rescate, y DarkSide se quedó con el resto.
Desde 2019, numerosas pandillas han aumentado la presión con una técnica conocida como doble extorsión. Al ingresar a un sistema, roban datos confidenciales antes de lanzar un ransomware que codifica los archivos e imposibilita que hospitales, universidades y ciudades realicen su trabajo diario. Si la pérdida del acceso a la computadora no es lo suficientemente intimidante, amenazan con revelar información confidencial, a menudo publicando muestras como palanca. Por ejemplo, cuando el departamento de policía de Washington, DC, no pagó el rescate de $4 millones exigido por una pandilla llamada Babuk el mes pasado, Babuk publicó informes de inteligencia, nombres de sospechosos criminales y testigos, y archivos personales, desde información médica hasta pruebas de polígrafo. resultados, de funcionarios y candidatos a puestos de trabajo.
DarkSide, que surgió en agosto pasado, personificó esta nueva raza. Eligió los objetivos en función de un análisis financiero cuidadoso o de la información recopilada de los correos electrónicos corporativos. Por ejemplo, atacó a uno de los clientes de Tantleff durante una semana cuando los piratas informáticos sabían que la empresa sería vulnerable porque estaba transfiriendo sus archivos a la nube y no tenía copias de seguridad limpias.
Para infiltrarse en las redes de destino, la pandilla usó métodos avanzados, como exploits de día cero, que inmediatamente aprovechan las vulnerabilidades del software antes de que puedan parchearse. Una vez dentro, se movió rápidamente, buscando no solo datos confidenciales sino también la póliza de seguro cibernético de la víctima, para poder vincular sus demandas a la cantidad de cobertura. Después de dos o tres días de hurgar, DarkSide cifró los archivos.
Tienen una ventana de ataque más rápida, dijo Christopher Ballod, director gerente asociado de riesgo cibernético en Kroll, la firma de investigaciones comerciales, que ha asesorado a media docena de víctimas de DarkSide. Cuanto más tiempo permanezca en el sistema, más probable es que lo atrapen.
Por lo general, las demandas de DarkSide estaban en el extremo superior de la escala, $ 5 millones y más, dijo Ballod. Una táctica aterradora: si las empresas que cotizan en bolsa no pagaban el rescate, DarkSide amenazaba con compartir la información que les habían robado con vendedores en corto que se beneficiarían si el precio de las acciones bajaba tras la publicación.
El sitio de DarkSide en la web oscura identificó a docenas de víctimas y describió los datos confidenciales que afirmaba haberles robado. Uno era el bufete de abogados de Nueva Orleans Stone Pigman Walther Wittmann. Lo que fue una gran molestia, dijo el abogado Phil Wittmann, refiriéndose al ataque DarkSide en febrero. No les pagamos nada, dijo Michael Walshe Jr., presidente del comité de administración de la empresa, y se negó a hacer más comentarios.
El pasado mes de noviembre, DarkSide adoptado lo que se conoce como modelo de ransomware como servicio. Bajo este modelo, se asoció con afiliados que lanzaron los ataques. los afiliados recibió 75% a 90% del rescate, y DarkSide se queda con el resto. Como sugiere esta asociación, el ecosistema de ransomware es un espejo distorsionado de la cultura corporativa, con todo, desde entrevistas de trabajo hasta procedimientos para manejar disputas. Después del cierre de DarkSide, varias personas que se identificaron como sus afiliados se quejaron en un foro de resolución de disputas de que los había estafado. El objetivo pagó, pero yo no recibí mi parte, escribió uno.
Juntos, DarkSide y sus afiliados supuestamente recaudaron al menos $ 90 millones. Siete de los clientes de Tantleff, incluidas dos empresas de la industria de la energía, pagaron rescates que oscilaron entre $1,25 millones y $6 millones, lo que refleja los descuentos negociados de las demandas iniciales de $7,5 millones a $30 millones. Sus otros tres clientes afectados por DarkSide no pagaron. En uno de esos casos, los piratas exigieron 50 millones de dólares. Las negociaciones se volvieron enconadas y las dos partes no pudieron ponerse de acuerdo sobre el precio.
Los representantes de DarkSide eran astutos negociadores, dijo Tantleff. Si una víctima decía que no podía pagar el rescate debido a la pandemia, DarkSide estaba listo con datos que mostraban que los ingresos de la empresa habían aumentado o que el impacto del covid-19 se había tenido en cuenta en el precio.
La comprensión de la geopolítica de DarkSide fue menos avanzada que su enfoque del ransomware. Casi al mismo tiempo que adoptó el modelo de afiliado, publicó que planeaba salvaguardar la información robada de las víctimas almacenándola en servidores en Irán. Aparentemente, DarkSide no se dio cuenta de que una conexión iraní complicaría el cobro de rescates de las víctimas en los EE. UU., que tiene sanciones económicas que restringen las transacciones financieras con Irán. Aunque DarkSide luego se retractó de esta declaración, diciendo que solo había considerado a Irán como una posible ubicación, numerosas aseguradoras cibernéticas tenían preocupaciones sobre la cobertura de los pagos al grupo. Coveware, una empresa de Connecticut que negocia con los atacantes en nombre de las víctimas, dejó de tratar con DarkSide.
Ballod dijo que dado que sus aseguradoras no estaban dispuestas a reembolsar el rescate, ninguno de sus clientes pagó a DarkSide, a pesar de las preocupaciones sobre la exposición de sus datos. Incluso si hubieran cedido a DarkSide y recibido garantías de los piratas informáticos a cambio de que los datos serían triturados, la información aún podría filtrarse, dijo.
Durante el cambio de DarkSide al modelo de afiliados , se introdujo una falla en su ransomware. La vulnerabilidad llamó la atención de los miembros del equipo de caza de ransomware. Establecido en 2016, el equipo solo por invitación está formado por una docena de voluntarios en los EE. UU., España, Italia, Alemania, Hungría y el Reino Unido. Trabajan en ciberseguridad o campos relacionados. En su tiempo libre, colaboran para encontrar y descifrar nuevas cepas de ransomware.
Varios miembros, incluido Wosar, tienen poca educación formal pero aptitudes para la codificación. Wosar, que abandonó la escuela secundaria, creció en una familia de clase trabajadora cerca de la ciudad portuaria alemana de Rostock. En 1992, a la edad de ocho años, vio una computadora por primera vez y quedó fascinado. A los 16, estaba desarrollando su propio software antivirus y ganando dinero con él. Ahora con 37 años, ha trabajado para la empresa de antivirus Emsisoft desde sus inicios hace casi dos décadas y es su director de tecnología. Se mudó al Reino Unido desde Alemania en 2018 y vive cerca de Londres.
Ha estado luchando contra los piratas informáticos de ransomware desde 2012, cuando descifró una variedad llamada ACCDFISA, que significa Departamento contra el crimen cibernético de la Agencia Federal de Seguridad de Internet. Esta agencia ficticia notificaba a las personas que la pornografía infantil había infectado sus computadoras, por lo que bloqueaba el acceso a sus archivos a menos que pagaran $100 para eliminar el virus.
Historia relacionada
Google dice que es demasiado fácil para los piratas informáticos encontrar nuevas fallas de seguridad Los atacantes explotan los mismos tipos de vulnerabilidades de software una y otra vez, porque las empresas a menudo pierden el bosque por los árboles.El hacker de ACCDFISA finalmente notó que la cepa había sido descifrada y lanzó una versión revisada. Muchos de los triunfos posteriores de Wosar también fueron fugaces. Él y sus compañeros de equipo intentaron que los criminales no se dieran cuenta durante el mayor tiempo posible de que su cepa era vulnerable. Dejaron mensajes crípticos en foros invitando a las víctimas a contactarlos para obtener ayuda o enviaron mensajes directos a las personas que publicaron que habían sido atacados.
En el curso de la protección contra las intrusiones informáticas, los analistas de las empresas antivirus a veces detectaron fallas de ransomware y crearon herramientas de descifrado, aunque no era su enfoque principal. A veces chocaron con Wosar.
En 2014, Wosar descubrió que una variedad de ransomware llamada CryptoDefense copiaba y pegaba desde Microsoft Windows parte del código que usaba para bloquear y desbloquear archivos, sin darse cuenta de que el mismo código estaba guardado en una carpeta en la propia computadora de la víctima. Faltaba la señal, o bandera, en su programa, que generalmente incluyen los creadores de ransomware para indicarle a Windows que no guarde una copia de la clave.
Wosar desarrolló rápidamente una herramienta de descifrado para recuperar la clave. Nos enfrentamos a un acertijo interesante, escribió Sarah White, otra miembro del equipo de caza, en el sitio web de Emsisoft. blog . ¿Cómo llevar nuestra herramienta a la mayor cantidad posible de víctimas sin alertar al desarrollador de malware de su error?
Wosar buscó discretamente a las víctimas de CryptoDefense a través de foros de apoyo, redes de voluntarios y anuncios sobre dónde contactar para obtener ayuda. Evitó describir cómo funcionaba la herramienta o el error que explotaba. Cuando las víctimas se presentaron, proporcionó la solución, eliminando el ransomware de al menos 350 computadoras. CryptoDefense eventualmente nos atrapó... pero aún no tenía acceso al descifrador que usamos y no tenía idea de cómo estábamos desbloqueando los archivos de sus víctimas, escribió White.
“Nos enfrentamos a un dilema interesante... ¿Cómo llevar nuestra herramienta a la mayor cantidad posible de víctimas sin alertar al desarrollador de malware de su error?
Sarah White, equipo de caza de ransomware
Pero luego, una empresa de antivirus, Symantec, descubrió el mismo problema y se jactó del descubrimiento en una publicación de blog que contenía suficiente información para ayudar al desarrollador de CryptoDefense a encontrar y corregir la falla, escribió White. En 24 horas, los atacantes comenzaron a difundir una versión revisada. Cambiaron su nombre a CryptoWall y hecho $ 325 millones.
Symantec eligió la publicidad rápida en lugar de ayudar a las víctimas de CryptoDefense a recuperar sus archivos, escribió White. A veces hay cosas que es mejor no decir.
Una portavoz de Broadcom, que adquirió el negocio de seguridad empresarial de Symantec en 2019, se negó a comentar y dijo que los miembros del equipo que trabajaron en la herramienta ya no están en la empresa.
Como Wosar, el joven de 29 años gillespie Viene de la pobreza y nunca fue a la universidad. Cuando crecía en el centro de Illinois, su familia luchaba tanto económicamente que a veces tenían que mudarse con amigos o parientes. Después de la secundaria, trabajó a tiempo completo durante 10 años en una cadena de reparación de computadoras llamada Nerds on Call. El año pasado, se convirtió en investigador de malware y ciberseguridad en Coveware.
En diciembre pasado, le envió un mensaje a Wosar para pedir ayuda. Gillespie había estado trabajando con una víctima de DarkSide que pagó un rescate y recibió una herramienta para recuperar los datos. Pero el descifrador de DarkSide tenía fama de ser lento, y la víctima esperaba que Gillespie pudiera acelerar el proceso.
Gillespie analizó el software, que contenía una clave para liberar los archivos. Quería extraer la clave, pero debido a que estaba almacenada de una manera inusualmente compleja, no pudo. Se volvió hacia Wosar, quien pudo aislarlo.
Luego, los compañeros de equipo comenzaron a probar la clave en otros archivos infectados por DarkSide. Gillespie verificó los archivos cargados por las víctimas en el sitio web que opera, ID Ransomware, mientras que Wosar usó VirusTotal, una base de datos en línea de malware sospechoso.
Esa noche, compartieron un descubrimiento.
Tengo confirmación de que DarkSide está reutilizando sus claves RSA, escribió Gillespie al Hunting Team en su canal de Slack. Un tipo de criptografía, RSA genera dos claves: una clave pública para codificar datos y una clave privada para descifrarlos. RSA se usa legítimamente para salvaguardar muchos aspectos del comercio electrónico, como proteger los números de crédito. Pero también ha sido cooptado por piratas informáticos de ransomware.
Noté lo mismo que pude descifrar archivos recién cifrados usando su descifrador, respondió Wosar menos de una hora después, a las 2:45 a. m., hora de Londres.
Su análisis mostró que antes de adoptar el modelo de afiliado, DarkSide había usado una clave pública y privada diferente para cada víctima. Wosar sospechó que durante esta transición, DarkSide introdujo un error en su portal de afiliados utilizado para generar el ransomware para cada objetivo. Wosar y Gillespie ahora podían usar la clave que Wosar había extraído para recuperar archivos de las máquinas con Windows incautadas por DarkSide. El error criptográfico no afectó a los sistemas operativos Linux.
Historia relacionada
Cómo los funcionarios están protegiendo las elecciones de los piratas informáticos ransomware Las preocupaciones sobre un ataque a los sistemas electorales son reales. Pero un hackeo no dañaría tanto la votación como la desinformación que resultaría.Estábamos rascándonos la cabeza, dijo Wosar. ¿Realmente podrían haberlo jodido tanto? DarkSide fue uno de los esquemas de ransomware como servicio más profesionales que existen. Para ellos, cometer un error tan grande es muy, muy raro.
El Equipo de Caza celebró en silencio, sin buscar publicidad. White, quien es estudiante de ciencias de la computación en Royal Holloway, parte de la Universidad de Londres, comenzó a buscar víctimas de DarkSide. Se puso en contacto con empresas que manejan el análisis forense digital y la respuesta a incidentes.
Les dijimos: 'Oigan, escuchen, si tienen víctimas del Lado Oscuro, díganles que se comuniquen con nosotros; podemos ayudarlos. Podemos recuperar sus archivos y no tienen que pagar un gran rescate”, dijo Wosar.
Los piratas informáticos de DarkSide en su mayoría se tomaron la temporada navideña. Gillespie y Wosar esperaban que cuando se reanudaran los ataques en el nuevo año, su descubrimiento ayudaría a decenas de víctimas. Pero luego Bitdefender publicó su publicación, bajo el título Herramienta de descifrado de ransomware Darkside.
En un canal de mensajería con la comunidad de respuesta al ransomware, alguien preguntó por qué Bitdefender avisaría a los piratas informáticos. Publicidad, respondió White. Se ve bien. Sin embargo, puedo garantizar que lo arreglarán mucho más rápido ahora.
Ella tenía razón. Al día siguiente, DarkSide reconoció el error que Wosar y Gillespie habían encontrado antes que Bitdefender. Debido al problema con la generación de claves, algunas empresas tienen las mismas claves, escribieron los piratas informáticos, y agregaron que hasta el 40% de las claves se vieron afectadas.
DarkSide se burló de Bitdefender por lanzar el descifrador en el momento equivocado... ya que nuestra actividad y la de nuestros socios durante las vacaciones de Año Nuevo es la más baja.
Además de las frustraciones del equipo, Wosar descubrió que la herramienta Bitdefender tenía sus propios inconvenientes. Usando el descifrador de la compañía, trató de desbloquear muestras infectadas por DarkSide y descubrió que estaban dañadas en el proceso. De hecho, implementaron mal el descifrado, dijo Wosar. Eso significa que si las víctimas usaron la herramienta Bitdefender, es muy probable que hayan dañado los datos.
Cuando se le preguntó acerca de las críticas de Wosar, Botezatu dijo que la recuperación de datos es difícil y que Bitdefender ha tomado todas las precauciones para asegurarse de que no estamos comprometiendo los datos de los usuarios, incluidas pruebas exhaustivas y código que evalúa si el archivo descifrado resultante es válido.
Incluso sin Bitdefender, DarkSide pronto podría haberse dado cuenta de su error de todos modos, dijeron Wosar y Gillespie. Por ejemplo, mientras revisaban las redes comprometidas, los piratas informáticos podrían haber encontrado correos electrónicos en los que las víctimas ayudadas por el equipo de caza discutían la falla.
Podrían resolverlo de esa manera, esa siempre es una posibilidad, dijo Wosar. Pero es especialmente doloroso si se está quemando una vulnerabilidad a través de algo estúpido como este.
El incidente llevó al Equipo de Caza a acuñar un término para la exposición prematura de una debilidad en una variedad de ransomware. Internamente, a menudo bromeamos, 'Sí, probablemente van a sacar un Bitdefender', dijo Wosar.
Esta historia fue copublicada con ProPublica, una sala de redacción sin fines de lucro que investiga los abusos de poder. Renee Dudley y Daniel Golden se han centrado en el ransomware para ProPublica y están trabajando en un libro sobre el equipo de caza de ransomware, que será publicado el próximo año por Farrar, Straus y Giroux.
Regístrese para recibir Las historias más importantes de ProPublica tan pronto como se publiquen.