- Emsisoft informa de que durante meses lograron explotar una vulnerabilidad en el ransomware de una banda criminal conocida como BlackMatter.
- Detrás de esta herramienta de ataque estaban los integrantes de DarkSide, el ransomware que atacó el oleoducto de Colonial en Estados Unidos hace unos meses.
- La historia refleja cómo combatir el ransomware es posible, pero es necesario fortalecer la colaboración público-privada para ser 'mejores' que los criminales.
En ciberseguridad, responder a un ataque implica, la mayor parte de las veces, responder tarde. Esto ocurre con los ataques con ransomware. Por lo que tanto los expertos como la propia industria de la seguridad informática enfatizan en lo imprescindible que es contar con mecanismos de prevención y detección de riesgos.
El ransomware es un tipo de código malicioso que se convirtió en uno de los ataques más prevalentes. Empresas en absolutamente todo el mundo pueden ser objetivo de mafias de cibercriminales, que utilizan este tipo de herramientas para cifrar los archivos de sus víctimas. Y cuando lo consiguen, piden un rescate a cambio
En los últimos años el ransomware ha paralizado la operación de empresas y administraciones. El caso más cercano y reciente en México es el incidente que afectó a la Lotería Nacional detectado en febrero de 2020; y que se hizo público en mayo de este año con un ransomware llamado Avaddon.
En este se encriptaron archivos de 2009 a 2021, tales como contratos, acuerdos, documentos legales, correos electrónicos, así como datos financieros, notariales y de outsourcing, entre otros, de acuerdo con información publicada en el blog de los hackers.
El ransomware paralizó la operación de empresas y administraciones
Por la misma naturaleza de un ataque con ransomware, estos incidentes se convirtieron en uno de los más difíciles de resolver. Normalmente, cuando una mafia cifra los archivos y equipos de sus víctimas, a estas no les quedan muchas más opciones que o pagar el rescate en criptomonedas o rescatar todos los archivos posibles de una copia de seguridad.
El problema es que desde 2020 los ciberdelincuentes que operan este tipo de instrumentos también acompañan el cifrado de los archivos de sus víctimas con el robo de información sensible; para así garantizar una campaña de extorsión a cambio de los rescates.
Pero emsisoft, una multinacional de ciberseguridad neozelandesa consiguió algo que no es habitual. De forma muy discreta, lograron explotar una vulnerabilidad en el código de un ransomware que empleaba un colectivo de criminales conocido como BlackMatter.
Y hace apenas unos meses, un analista de esta firma, Brett Callow, confirmó a Business Insider España uno de los peores augurios. «Da igual la cantidad de recursos que se inviertan, sus cifrados [los de un ransomware] no se pueden romper».
A no ser que se tenga acceso a una brecha de seguridad en la operativa de los propios delincuentes.
Ciberdelincuentes que eran viejos conocidos
BlackMatter es el nombre que recibe un colectivo de ciberdelincuentes que impactan con ransomware en Estados Unidos y Europa desde hace semanas. Emsisoft confirmó que detrás del grupo están los mismos criminales que operaban otro colectivo de ransomware, que hasta este mismo año se hacía conocer como DarkSide.
Su antiguo nombre podría sonarte: DarkSide es el colectivo de ransomware que impactó este mismo año sobre Colonial Pipelines, propietaria de un gasoducto en Estados Unidos. Cuando paralizó sus operaciones durante días, la Administración Biden se vio obligada a decretar en estado de emergencia parte del país. Además, hubo problemas con la escasez de suministros en varias gasolineras.
Los esfuerzos del FBI lograron recuperar parte del cuantioso rescate que Colonial tuvo que pagar para recuperar el control de sus sistemas informáticos. El monto se cifró entonces en millones de dólares. La labor policial hizo que DarkSide desapareciera del mapa… al menos durante un tiempo.
Lo que no sospechaban los criminales de BlackMatter es que Emsisoft, para entonces, ya había podido auditar cómo operaba su ransomware y ya había concluido que se trataba del mismo tipo de herramienta. Gracias a sus análisis, detectaron una vulnerabilidad con la que las víctimas de este podían descifrar sus equipos informáticos.
Y completamente gratis.
La ‘industria’ del ransomware evoluciona constantemente. Los criminales destinan parte de sus inmensos botines a innovar y sofisticar sus técnicas. En julio apareció una página web del ransomware de BlackMatter donde el colectivo reivindicaría sus fechorías para extorsionar a sus víctimas. En dicha web el colectivo aseguraba que no atacaban ni a hospitales ni a infraestructuras críticas.
Una brecha abierta y el dilema de gestionarlo en secreto
Pero como señala Emsisoft en un artículo publicado en su propia web corporativa, el ransomware de BlackMatter no estaba exento de vulnerabilidades. ¿El problema? Anunciar su hallazgo permitiría a la banda corregir sus errores y hacer el ransomware todavía más eficaz.
Por eso para la multinacional es imprescindible contar con la colaboración público-privada. Para garantizar que su hallazgo podía ser de utilidad a las víctimas de BlackMatter, Emsisoft se puso en contacto con muchas de estas empresas y administraciones de discretamente para evitar que los criminales sospecharan.
De esta manera muchas de las víctimas lograron recobrar sus datos cifrados sin necesidad de pagar el rescate (la gasolina que permite a la industria de la ciberdelincuencia seguir operando) y ahorrarse así miles de dólares. «El final inevitable», eso sí, estaría al llegar: los criminales detectaron qué estaba sucediendo y repararon la vulnerabilidad en su ransomware.
La colaboración público-privada y el hallazgo de esta vulnerabilidad permitió, durante meses, que las víctimas de BlackMatter encontraran una alternativa eficaz a recobrarse y no tener que pagar los rescates que exigen estos criminales. Por eso algunos medios tildaron esta historia como una «extraña victoria» en el juego «del gato y del ratón» que es el ransomware.
TAMBIÉN LEE: Lo que necesitas saber sobre REvil, el grupo de hackers que extorsionó a cientos de empresas, en menos de un minuto
Descubre más historias en Business Insider México
Síguenos en Facebook, Instagram, Twitter, LinkedIn y YouTube.
AHORA VE:
