Cómo los hackers extorsionaron $ 1.14 millones de la Universidad de California, San Francisco

Copyright de la imagen
NASA

Una importante institución de investigación médica que trabaja en una cura para Covid-19 admitió haber pagado a los piratas informáticos un rescate de $ 1.14 millones (£ 910,000) después de una negociación secreta a la que asistió ISFOS News.

La banda criminal Netwalker atacó a la Universidad de California en San Francisco (UCSF) el 1 de junio.

El personal de TI desconectó las computadoras en una carrera para detener la propagación del malware.

Y la información anónima permitió a ISFOS News seguir las negociaciones de rescate en un chat en vivo en la web oscura.

Los expertos en ciberseguridad dicen que tales negociaciones se están llevando a cabo en todo el mundo, a veces por aún más dinero, en contra del consejo de las fuerzas del orden público, incluidos el FBI, Europol y el Centro Nacional de Seguridad Cibernética en el Reino -Unido.

Netwalker solo se ha relacionado con al menos otros dos ataques de ransomware en universidades en los últimos dos meses.

A primera vista, su página de inicio de web oscura parece un sitio web estándar de servicio al cliente, con una pestaña de Preguntas Frecuentes (FAQ), una oferta de una muestra "gratuita" de su software y una opción de chat. en directo.

Pero también hay una cuenta regresiva en un momento en que los piratas informáticos duplican el precio de su rescate o eliminan los datos que han codificado con malware.

Se le ordenó conectarse, ya sea por correo electrónico o por una nota de rescate que se dejó en las pantallas de las computadoras pirateadas, la UCSF recibió el siguiente mensaje, publicado el 5 de junio.

Seis horas después, la universidad solicitó más tiempo y eliminó los detalles del hack del blog público de Netwalker.

Al observar que UCSF ganaba miles de millones al año, los piratas informáticos exigieron $ 3 millones

Pero el representante de UCSF, que puede ser un negociador especializado externo, explicó que la pandemia de coronavirus había sido "financieramente devastadora" para la universidad y les rogó que aceptaran $ 780,000.

Después de un día de negociaciones, la UCSF dijo que había recaudado todo el dinero disponible y que podía pagar $ 1.02 millones, pero los delincuentes se negaron a ir por debajo de $ 1.5 millones.

Unas horas después, la universidad regresó con detalles de cómo había obtenido más dinero y una oferta final de $ 1,140,895.

Y al día siguiente, 116.4 bitcoins fueron transferidos a las billeteras electrónicas de Netwalker y el software de descifrado enviado a UCSF.

La UCSF ahora está ayudando al FBI en sus investigaciones, mientras trabaja para restaurar todos los sistemas afectados.

Le dijo a ISFOS News: "Los datos que se han cifrado son importantes para parte del trabajo académico que hacemos como universidad para el bien público.

"Así que tomamos la difícil decisión de pagar parte del rescate, alrededor de $ 1.14 millones, a las personas detrás del ataque de malware a cambio de una herramienta para desbloquear datos cifrados y devolver los datos que lo consiguieron ".

"Sería un error suponer que todas las declaraciones y acusaciones hechas durante las negociaciones son objetivamente correctas".

Copyright de la imagen
iBrave

Pero Jan Op Gen Oorth de Europol, que dirige un proyecto llamado No More Ransom, dijo: "Las víctimas no deberían pagar el rescate, ya que financia a los delincuentes y los alienta a continuar sus actividades ilegales.

"En cambio, deberían informarlo a la policía para que la policía pueda interrumpir la empresa criminal".

Brett Callow, analista de amenazas de la compañía de ciberseguridad Emsisoft, dijo: "Las organizaciones en esta situación no tienen una buena opción.

"Incluso si pagan la solicitud, simplemente recibirán una promesa rosa de que se eliminarán los datos robados.

"Pero, ¿por qué una empresa criminal despiadada eliminaría datos que eventualmente podría monetizar?"

La mayoría de los ataques de ransomware comienzan con un correo electrónico atrapado, y la investigación sugiere que las pandillas criminales utilizan cada vez más herramientas que pueden acceder a los sistemas a través de una sola descarga. Solo en la primera semana de este mes, los analistas de seguridad cibernética de Proofpoint informaron haber visto más de un millón de correos electrónicos utilizando una variedad de señuelos de phishing, incluidos los resultados falsos de las pruebas de Covid. 19, enviado a organizaciones en los Estados Unidos, Francia, Alemania, Grecia. e Italia

Se alienta a las organizaciones a realizar copias de seguridad de sus datos sin conexión regularmente.

Pero Ryan Kalember de Proofpoint dijo: "Las universidades pueden ser entornos difíciles de proteger para los administradores de TI.

"La población estudiantil en constante cambio, combinada con una cultura de apertura e intercambio de información, puede entrar en conflicto con las reglas y controles a menudo necesarios para proteger eficazmente a los usuarios y sistemas de los ataques".