Saltar al contenido

Fuente: Xakata, JAVIER LACORT

Nuestros compañeros de xakata publican la siguiente historia real.

Aunque nosotros hemos condensado la historia, vale la pena leerlo entero.

Los nombres son ficticios, pero el secuestro de la información de la empresa, y el pago fueron reales. No creáis que eran unos cualquiera, tenían defensas: Antivirus, algunas copias en discos duros externos, pero parciales.

Les faltaba un Plan de Recuperación de desastres en caso de bloqueo total de los datos.

Nuestra recomendación es que nos pidáis presupuesto.

No es caro y puede salvar a la empresa.

Yo he negociado con los crackers en un ataque ransomware:

nos pedían 1 bitcoin o perdíamos toda nuestra información

Yo he negociado con los crackers en un ataque ransomware: nos pedían 1 bitcoin o perdíamos toda nuestra información

A finales de 2019, Alberto (nombre modificado para guardar su anonimato) detectó un problema en su trabajo. Él era el manager de un equipo de cuatro empleados que conformaban el departamento de IT en una mediana empresa (entre 50 y 250 empleados, entre 10 y 50 millones de euros de facturación anual), así que fue a quien le notificaron lo ocurrido: un maquetador había recibido —y abierto— un correo que parecía ser de un cliente habitual. El dominio e incluso el nombre eran muy similares. Ese correo incluía un archivo zip, algo frecuente en las bandejas de entrada del departamento de diseño. Ni el firewall ni el antivirus detectaron nada extraño. Sin embargo, dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrada.

«‘Todo’ es ‘todo’. El servidor SAP, la administración, máquinas virtuales con aplicaciones corporativas, la web alojada en un servidor interno, los equipos de trabajo de todo el personal, los servidores de copias de seguridad, los NAS. Todo», recuerda Alberto justo dos años después del suceso.

Unknown 1

Lo que estaba ocurriendo era un ataque ransomware, el mismo que recibió Telefónica en 2017.

En este caso toda la actividad de la empresa se detuvo por completo. Así que todos los empleados fueron enviados a casa… salvo al grupo de informáticos, que tuvo que empezar a pensar qué hacer para recuperar la información cifrada. La pesadilla había empezado.

Pánico

«Había pánico en la empresa. Teníamos algunas copias en discos duros externos, pero parciales. Contactamos con varias empresas para ver cómo podían ayudarnos, elegimos a la que más nos gustó y vinieron a intentar recomponernos y recuperar algo», explica Alberto.

Empezaron a trabajar y descubrieron que el malware con el que lidaban era Phobos EKING similar al que a principios de 2021 tumbó al SEPE). Un malware que cifra todos los archivos de la red atacada.

Ahí empezaron a plantear costes con la dirección de la empresa, que sugirió evaluar la opción de pagar el rescate, que estaba fijado en un bitcoin, que en aquel momento cotizaba a unos 7.000 euros. «Ni la empresa de ciberseguridad ni la Guardia Civil nos aconsejaban pagar ese rescate. Nada garantizaba que nos dieran la clave para descifrar la red».

Puede sorprender que el rescate de todo el sistema e información de una empresa que factura millones de euros al año sea de tan solo 7.000 euros, pero eso se debe a que los atacantes que cifraron la información no pudieron leerla, así que ni siquiera sabían si lo que estaban secuestrando era un entorno corporativo o uno doméstico. En ese momento,  la empresa decidió pagar y Alberto fue quien tuvo que comunicarse con los atacantes, siempre con discreción, haciéndose pasar por un particular.

Tras efectuar el pago del bitcoin acordado, la empresa les facilitó un programa junto a una clave de recuperación y hasta el enlace de un vídeo de YouTube a modo de tutorial.

Cicatrices

La prioridad absoluta era recuperar los archivos para que la empresa pudiera retomar su actividad. Sin eso, no había vuelta a la normalidad posible. «Yo me jugaba mi trabajo y el de mucha otra gente, la empresa lo había perdido todo

«Lo recuperamos todo. Tuvimos algún problema con las máquinas virtuales, porque aunque se descifraron, algunas estaban corruptas, pero minimizamos mucho el desastre».

En los días posteriores se replanteó toda la infraestructura, se formateó todo y empezaron a tomar medidas «de verdad» para prevenir otro ataque como ese. Aquellos días coincidían con los últimos de un plazo para presentar un asunto relacionado con Hacienda, no pudieron presentar a tiempo los datos y les acarreó penalizaciones.

Un año y medio después, Alberto reconoce que aquel ataque le dejó ciertas secuelas que han alterado su rutina, incluso a nivel doméstico. «Tras aquello hago copias de seguridad de todo varias veces, compré varios NAS para mi casa, hago las copias en frío y luego desconecto los discos también…».

Los ataques no siempre son inmediatos como en la empresa de Alberto, sino que a veces, especialmente cuando se pueden exigir rescates más altos por el mayor volumen de negocio de la empresa, se cuecen a fuego lento.

Doble y triple extorsión

Otra de las empresas que habitualmente prestan sus servicios en casos de ataques ransomware son las grandes consultoras. Un empleado de una de las que forman las Big 4 en España nos explica, bajo condición de anonimato, que especialmente en los últimos años se ha convertido en una práctica habitual, y que los precios de los rescates siempre son proporcionales a la facturación de la empresa. «A una pyme le piden 50.000 o 100.000 euros, no más. A una gran empresa le pueden pedir millones de euros».

«Una vez descubrimos que los atacantes llevaban dentro de la organización más de 70 días previos al cifrado. Habían estudiado todos los patrones de tráfico, cuándo se hacían copias de seguridad y dónde. Controlaron la red completa y lo infectaron todo, de esa forma acababan obligados a pagar».

«Antes se cifraban los ficheros y solo se entregaba la clave de cifrado tras recibir el pago del rescate. Luego llegó la doble extorsión: además de mantener cifrada la información, la publican online. En ese caso la empresa tiene que hacer frente a una multa de la Agencia Española de Protección de Datos por no haber protegido correctamente datos de carácter personal». Multas al margen, no pagar y acabar con los datos publicados en la red tiene otro componente: la crisis reputacional.

https://www.xataka.com/seguridad/yo-he-negociado-crackers-ataque-ransomware-nos-pedian-1-bitcoin-perdiamos-toda-nuestra-informacion