Por Renee Dudley y Daniel Golden de The Guardian ***
Alrededor de las 9:00 p. m. del lunes 23 de noviembre de 2020, el gerente de TI de una escuela en el centro de Londres recibió un mensaje de texto de un colega que decía que el sitio web de la escuela no funcionaba. Intentó iniciar sesión pero no pudo. Al principio, pensó que había olvidado la contraseña. Después de varios intentos, se dio cuenta de que estaba bloqueado.
El gerente de TI, Matthew (nos pidió que no usáramos su apellido), trabaja en un vecindario del centro de Londres donde la riqueza esconde focos de pobreza, y las familias inmigrantes de Pakistán, India y Europa del Este depositan sus esperanzas para sus hijos en un pequeño, escuela financiada con fondos públicos. Tiene alrededor de 150 estudiantes de entre cinco y 10 años, muchos de ellos con comidas escolares gratuitas. Con un presupuesto reducido, en un edificio victoriano que muestra su edad, los maestros siguen el progreso de los estudiantes al fotografiarlos mientras aprenden a sostener un lápiz, hacer un dibujo o escribir su nombre. Las instantáneas y otros informes de progreso se cargan en un servidor, una computadora poderosa que procesa datos y brinda servicios para otros dispositivos que se usan en la escuela.
Matthew, un inglés afable de poco más de 40 años con cabello rubio y barba incipiente, ha guardado este tesoro insustituible de datos sobre el aprendizaje de todos los niños desde 2016. Aunque la escuela solo puede pagarle unos pocos miles de libras al año como contratista, él está dedicada a su gente y misión. Cuando descubrió que no podía acceder al sitio web, estaba desesperado.
A las 2 am, después de haber agotado otras ideas, finalmente se puso en contacto con la mesa de ayuda de la empresa que alojaba el servidor. Obtuvo un nuevo servidor y lo conectó a la escuela. Con la configuración nueva, Matthew podía ver los archivos enumerados en los directorios, aunque aún no podía abrirlos. Se les había cambiado el nombre con la extensión de archivo «.encrypt». Para su horror, se dio cuenta de que la escuela había sido atacada por un ransomware, uno de los delitos cibernéticos más generalizados y de más rápido crecimiento en el mundo. Un cruce entre la piratería y la criptografía, el ransomware penetra en las computadoras y hace que los archivos sean inaccesibles sin la clave de descifrado correcta. Luego, los piratas exigen un alto precio por la cadena de caracteres que pueden desbloquear la información.
El pirata informático había ingresado al sistema de la escuela a través de un portal web que los maestros usaban para la gestión de contenido. Había disponible una actualización con seguridad mejorada, pero Matthew, que administra TI para una variedad de clientes y está tan ocupado que no siempre recuerda parchear el software vulnerable, no la había instalado.
“No seguí mi propio consejo. Estaba tan frustrado y tan avergonzado”, dijo. “Sentí como si alguien me hubiera dado un puñetazo en el estómago”.
Como observó una vez George Orwell: “La historia de la civilización es en gran medida la historia de las armas”. Hoy en día, las armas digitales están remodelando el mundo y el ransomware plantea lo que puede ser la mayor amenaza de todas. Es más eficiente y rentable que otros delitos cibernéticos como el robo de identidad y, a medida que nos volvemos dependientes de Internet para todos los aspectos de nuestras vidas, existe una posibilidad casi ilimitada de que los delincuentes ganen dinero y generen caos.
La frecuencia y el impacto de los ataques de ransomware se subestiman ampliamente porque muchas víctimas no los hacen públicos ni informan a las autoridades. Pero en los últimos años, cientos de cepas con nombres extraños como Bad Rabbit y LockerGoga han paralizado los sistemas informáticos de millones de empresas, oficinas gubernamentales, organizaciones sin fines de lucro e individuos. Explotando la dependencia casi total de la sociedad de las computadoras, los piratas informáticos exigen miles, millones o incluso decenas de millones de dólares para restaurar las operaciones. Durante la pandemia, una ola de extorsión cibernética paralizó hospitales y otros servicios vitales, obligó a negocios y escuelas a cerrar y aisló aún más a las personas de familiares, amigos y compañeros de trabajo.
Mientras revisaba los restos digitales, Matthew encontró una nota. Titulado Hack for Life, decía en parte: “¡Todos sus archivos han sido bloqueados! La estructura y los datos dentro de sus archivos han cambiado irrevocablemente, no podrá trabajar con ellos, leerlos o verlos. Pero con nuestra ayuda, puedes restaurarlos. Podemos descifrar todos sus archivos después de pagar el rescate. No tenemos ninguna razón para engañarte después de recibir el rescate, ya que no somos bárbaros y además dañará nuestro negocio.
“Tienes 2 días para decidir pagar. después de 2 días, el precio de descifrado será el doble. Y después de 1 semana será el triple… Por eso, te recomendamos que hagas el pago en unas horas.”
Este no fue el primer roce de Matthew con ransomware. Anteriormente había trabajado para una empresa de software que fue atacada en 2018. Durante dos días, había intentado recuperar los datos de la empresa sin pagar a los piratas informáticos. Temiendo que su reputación sufriera y que los inversionistas entraran en pánico si el incidente se hacía público, la compañía se cansó de esperar e instruyó a Matthew para que pagara el rescate de 2 bitcoins (alrededor de $10,000 en ese momento). Recibió la llave para desbloquear los archivos y la compañía siguió adelante en silencio.
Lo que era un contratiempo para un negocio próspero era una catástrofe potencial para una escuela con problemas de liquidez. “Hubiera hecho que las evaluaciones para los niños fueran imposibles”, dijo Matthew. “A los profesores les hubiera costado meses de trabajo. Los inspectores del gobierno le habrían fallado a la escuela”.
Luego de una noche de sueño, alertó a sus superiores, quienes lo autorizaron a negociar con los atacantes. La escuela parecía no tener más remedio que recompensar a los delincuentes, incentivándolos a apuntar a más escuelas. Matthew y sus jefes mantendrían el ataque en secreto. No lo reportarían a la policía, por temor a empañar la reputación de la escuela. Mientras tanto, les dijeron a los maestros y padres que el sistema no funcionaba.
La nota de rescate no había mencionado un precio. «¿Cuánto cuesta descifrar mi PC?» Matthew escribió a una dirección de Gmail especificada por los piratas informáticos.
“Tienes que pagar 10000 euros”, fue la respuesta. “Hoy 10000. Mañana 15000. Otros dos días 20000.”
Matthew sabía que la escuela no podía pagar eso, así que trató de negociar fingiendo que el ataque no había causado mucho daño.
“Simplemente no tengo 10.000 euros para pagarte, lo siento, eso es ridículo. Somos una escuela pobre con pocos recursos. Tenemos la mayoría de los datos respaldados, solo algunas fotos recientes que perdí. Lo máximo que puedo pagar son 500. Avísame si te parece bien”.
La estrategia pareció funcionar, ya que el hacker redujo la demanda: “Última oferta de 1000 euros Si no está de acuerdo, tendremos que terminar la conversación”.
Mateo se sintió aliviado. La escuela podría reunir 1.000 €. Parecía haber evitado el desastre. Los piratas informáticos habían exigido el pago en bitcoins, que Matthew había invertido en sí mismo y sabía cómo obtener. Convirtió 1000 € en bitcoins en un intercambio en línea y los transfirió a una billetera digital especificada por los delincuentes.
“Está bien, se envió”, escribió Matthew. «Por favor, hágame saber cómo recuperar mis archivos».
“Lo siento, no se aceptan 1000 euros. Tienes que pagar 10000 euros. Debes otros 9.000 euros. Te enviaré el archivo de descifrado después del pago”.
Los delincuentes lo habían traicionado. Al pretender un compromiso, la pandilla obtuvo un pago inicial sin proporcionar una clave. Matthew estaba demasiado nervioso para cumplir con la tradicional regla de negociación de no permitir que su adversario lo vea sudar. Hizo un llamamiento desesperado. “Dijiste 1000 euros en la última oferta y acordamos el trato”, escribió.
El atacante se negó a moverse. «Yo no puedo aceptar. Lo siento. Este no es mi problema.»
Matthew buscó en Internet, esperando un milagro. En un sitio llamado BleepingComputer, encontró un foro para víctimas de VashSorena, una variedad de ransomware que, como la que paralizó la red de la escuela, agregó «.encrypt» al final de los nombres de los archivos.
“Tuve este ransomware hoy y pagué el rescate, pero el delincuente no ayudó”, publicó Matthew en el foro. Las instrucciones allí le aconsejaron cargar la nota de rescate y un archivo cifrado de muestra para su análisis en otro sitio, ID Ransomware, y ponerse en contacto con su fundador, que se hizo llamar demonslay335. Si alguien pudiera descifrar el código, dijeron, sería él.
“Hola, mi servidor que mi escuela usó para registrar su progreso fue pirateado y encriptado”, envió un mensaje de Matthew a demonslay335. “Por favor, ¿puedes ayudar? Estoy totalmente atascado”.
Michael Gillespie, el verdadero nombre de demonslay335, estaba en las planicies del centro de Illinois, a seis husos horarios de Londres, trabajando en su casa en una modesta oficina en el piso superior que formaba una línea de frente poco probable en la guerra contra el ransomware. Él y su esposa, que tienen ocho gatos, dos perros y un conejo, lo llaman la “habitación de los gatos”. Su configuración de trabajo consistía en una computadora portátil en un escritorio y un monitor colocado en un estante arriba; el único otro mueble era un sofá deshilachado. Excepto por un póster de El Rey León, su película favorita, las paredes beige estaban en gran parte desnudas y había manchas oscuras en el rodapié donde el conejo había mordido.
Entonces, a punto de cumplir 29 años, Gillespie no había tenido un camino fácil. Superó el bullying en la escuela, la pobreza y el cáncer. Cuando era niño, su familia era tan pobre que a veces tenían que mudarse con amigos o parientes. Gillespie no podía pagar la universidad. A los 16 años, comenzó a trabajar en una cadena de reparación de computadoras llamada Nerds on Call y permaneció allí durante más de una década mientras aprendía a descifrar ransomware.
Cada vez que tenía un momento libre, decodificaba los archivos infectados con ransomware como un servicio público. Casi de forma anónima, sin buscar reconocimiento ni recompensa, Gillespie se había convertido en uno de los mejores rompedores de ransomware del mundo. Al menos 1 millón de víctimas en todo el mundo han descargado las herramientas de descifrado que creó. Sin cobrarles un centavo, les ha salvado de pagar colectivamente cientos de millones de dólares en rescate. De más de 1000 tipos conocidos de ransomware, ha descifrado más de 100.
Internet es su refugio y hogar intelectual, el lugar donde pasa la mayor parte de sus horas de vigilia y donde ha ganado una estatura que asombraría a sus familiares y conocidos en Illinois. “Él vive tan fuertemente en el mundo de la tecnología que creo que tener malos actores involucrados simplemente le molesta”, dijo Dave Jacobs, quien fue el padrino de boda de Gillespie. “La electrónica es su mundo, y él no quiere que sucedan estas cosas en él”.
Ingenioso e incansable, Gillespie es el miembro más prolífico del equipo de caza de ransomware, una sociedad de élite a la que solo se puede acceder por invitación de una docena de magos de la tecnología que se dedican a descifrar ransomware. En todo el mundo, este oscuro grupo de voluntarios suele ser el único recurso para las víctimas que no pueden permitirse pagar rescates a los ciberdelincuentes, o se niegan por principio. El equipo ha descifrado más de 300 cepas y variantes importantes de ransomware, evitando que aproximadamente 4 millones de víctimas paguen miles de millones de dólares en rescate.
La mayoría de los miembros del equipo de caza de ransomware, como Gillespie, son historias de éxito improbables, con un virtuosismo técnico que es en gran parte autodidacta. Algunos provienen de entornos de pobreza o abuso que los ayudaron a impulsarse a luchar contra los matones. Debido a que están combatiendo a los delincuentes que podrían tomar represalias contra ellos, varios se esconden detrás de alias o identidades en línea. La mayoría nunca se han conocido en persona.
Los cazadores están dedicados a la causa y entre ellos. Cuando uno está en una situación financiera desesperada, un compañero de equipo seguramente intervendrá con una donación o una oferta de trabajo. Residen en al menos siete países: EE. UU., Reino Unido, Alemania, España, Italia, Hungría y los Países Bajos, pero, en un sentido muy real, viven en Internet. Conversan entre ellos a través de una plataforma de mensajería y con expertos en seguridad cibernética, firmas de consultoría, aficionados a la tecnología, víctimas e incluso atacantes en BleepingComputer, donde Matthew había publicado su pedido de ayuda. Dirigido por uno de los fundadores del equipo, BleepingComputer es una zona desmilitarizada y un bar de barrio, un lugar donde se cruzan los buenos y los malos actores del mundo del ransomware.
Los miembros del equipo tienen trabajos regulares, generalmente en ciberseguridad, pero su pasión es descifrar ransomware. Varios tienen una especie de visión de túnel: una vez que se comprometen a resolver un problema, se dedican a él sin parar durante horas o días, ajenos al mundo que los rodea. No les importa hacerse ricos; de lo contrario, podrían estar dedicando sus habilidades a desarrollar ransomware, no frustrarlo.
“Creo que todos somos una especie de inadaptados”, dijo el miembro del equipo Fabian Wosar, un desertor de la escuela secundaria que creció en Alemania pero ahora vive y trabaja fuera de Londres. Wosar es el mentor de Gillespie y, junto con él, el principal descifrador de códigos del equipo. “Todos tenemos peculiaridades extrañas que nos aíslan del mundo normal, pero que son útiles cuando se trata de rastrear ransomware y ayudar a las personas. Por eso y por eso trabajamos tan bien juntos. No necesita credenciales, siempre que tenga la pasión y el impulso para aprender por sí mismo las habilidades requeridas”.
El equipo llenó un vacío enorme. El gobierno de EE. UU. tardó en responder a la creciente amenaza de ransomware. El FBI no pudo controlarlo, y aconsejó a las víctimas que no pagaran rescates, pero no ofreció ninguna alternativa práctica. Los piratas informáticos a menudo operaban desde países como Rusia e Irán, que no tienen acuerdos de extradición con los EE. UU. y aprueban tácitamente los ataques cibernéticos en el mundo occidental, posiblemente usándolos para recopilar inteligencia o compartir las ganancias. Desde las aseguradoras hasta las empresas de ciberseguridad, el sector privado tenía pocos incentivos para frustrar el ransomware; a medida que aumentaba, se beneficiaron.
El equipo no puede descifrar todas las cepas. Cuando el ransomware se hace bien, es irrompible. Pero algunos atacantes cometen errores, toman atajos o subestiman a sus adversarios. Ahí es cuando salta el equipo.
Aunque sus mundos morales están a kilómetros de distancia, los piratas informáticos y los cazadores de ransomware tienen muchas cualidades en común. Incluso mientras jugaban al gato y al ratón, los desarrolladores de ransomware se acercaron para felicitar, insultar o bromear con los cazadores, y tratar de manipularlos. Compartían la fascinación del equipo por el ransomware y muchas de las mismas habilidades. Eran ávidos lectores de los foros de BleepingComputer, especialmente cuando publicaba noticias de sus hazañas. Wosar, en particular, tenía tanto talento para descifrar los códigos de los piratas informáticos que atrajo tanto la admiración como el abuso. Él y los piratas informáticos son «almas afines», dijo Lawrence Abrams, quien fundó y dirige el sitio BleepingComputer. “Es casi como una competencia entre ellos”.
Dentro de las filas de cazadores y piratas informáticos hay geeks tecnológicos autodidactas y subempleados que a veces carecen de gracia social, disfrutan de los videojuegos y están familiarizados con algunas de las mismas películas. La variedad de ransomware HakunaMatata, por ejemplo, recibió su nombre de una canción nominada al Oscar del amado Rey León de Michael Gillespie. Al igual que el equipo de caza de ransomware, la mayoría de los atacantes son hombres jóvenes. Están concentrados en el este de Europa, aunque dispersos por todo el mundo. En países como Rusia y Corea del Norte, algunas pandillas parecen disfrutar de cierto grado de protección gubernamental y, en algunos casos, ser armas en una guerra cibernética no declarada.Anuncio publicitario
Algunos de los piratas informáticos se enorgullecen de respetar un código de ética. Por ejemplo, generalmente mantienen su parte del trato y restablecen el acceso a la computadora al recibir un rescate. Las pandillas reconocen que si se ganan la reputación de traidores, es menos probable que las futuras víctimas paguen. Racionalizan su extorsión en todo tipo de formas. Pero incluso cuando dicen que no se trata de dinero, probablemente sí lo sea. Su codicia es la mayor diferencia entre ellos y el equipo de caza de ransomware.
Wosar descifró tantas cepas de ransomware que frustrar a los piratas informáticos se convirtió casi en una rutina. Así que le divertía cuando esos triunfos iban acompañados de algún que otro estallido de elogios teatrales o protestas del villano. Algunos lo adularon: “FWosar, eres el hombre”, insertó un desarrollador en el texto del ransomware NMoreira a fines de 2016. “Me inspiran los tipos que entienden lo que hacen. Espero que puedas romper esto también, no estoy siendo sarcástico, eres realmente inspirador. Abrazos.»
Los piratas informáticos derrotados a veces incrustaban mensajes para su némesis en su código de ransomware. Otros le suplicaron. «¡Wosar, por favor, no me rompas!» escribió un atacante. “Es mi último intento. ¡Si descifras esta versión, comenzaré a tomar heroína!” Impasible, Wosar descifró el ransomware y construyó un descifrador.Anuncio publicitario
Más a menudo, los piratas informáticos lo insultaron. Burlas como “¡Golpéame otra vez, Wosar! ¡Demuestra que tienes pelotas!” se destacaba en las largas filas de números y letras. En algún nivel, Wosar estaba complacido de hacerse notar. “Se han tomado el tiempo y el esfuerzo de escribir un mensaje sabiendo que probablemente lo veré y claramente me estoy metiendo en su piel”, le dijo a la BBC en 2019. “Es un buen motivador saber que mi el trabajo está molestando a algunas bandas cibercriminales realmente desagradables”.
Ransomware es un secuestro actualizado para la era digital. Usando estratagemas como el phishing (enviar correos electrónicos engañosos con archivos adjuntos maliciosos), los piratas informáticos se infiltran en las computadoras. Una vez dentro, detonan el ransomware y retienen las computadoras como rehenes para la criptomoneda.
La criptografía, un elemento básico del ransomware, se ha convertido en la columna vertebral de Internet, salvaguardando la banca electrónica, el comercio y las comunicaciones. Desafortunadamente, las herramientas criptográficas legítimas desarrolladas por el gobierno, la industria y la academia han sido cooptadas por los ciberdelincuentes para sus propios fines.
La innovación del ransomware fue armar el mismo acto de encriptación. Antes de la aparición del ransomware, los piratas informáticos que violaban los sistemas informáticos todavía tenían mucho trabajo por hacer antes de poder cobrar. Tenían que encontrar compradores para los números de tarjetas de crédito o de la seguridad social robados, con todos los retrasos e incertidumbres asociados. El ransomware hizo que el hackeo fuera rentable al monetizar la confianza de las víctimas en sus computadoras. Es un delito de ventanilla única, tan simple en concepto y ejecución que cualquier posible extorsionador puede comprar un paquete de ransomware en la dark web, el mundo del contenido en línea al que no se puede acceder a través de los motores de búsqueda estándar.
En su oficina ese martes a fines de noviembre de 2020, Gillespie estaba tan inundado con las súplicas de otras víctimas que apenas tuvo tiempo de mirar el archivo que Matthew le envió. Una mirada rápida lo convenció de que la escuela había sido atacada por la versión seis de una cepa de ransomware irrompible, Ouroboros, llamada así por el antiguo ícono de una serpiente que se muerde la cola.
“Ouroboros v6, no se puede descifrar desde octubre de 2019 cuando arreglaron las fallas”, le escribió a Matthew. En su frustración, Gillespie agregó: «ID Ransomware ya te lo habría dicho».
Mateo empujó hacia atrás. «Revisé el ID Ransomware antes, y dice que es diferente». El propio sitio web de Gillespie identificó la variedad de ransomware como VashSorena y la clasificó como descifrable en las circunstancias adecuadas. «¿Es solo un nombre diferente o existe la posibilidad de que pueda descifrarlo?» preguntó Mateo.
Al volver a examinar los caracteres del nombre del archivo y otros indicadores, Gillespie se dio cuenta de que se había equivocado. Su error fue comprensible: se cree que los piratas informáticos iraníes están detrás de las cepas de ransomware Ourobouros y VashSorena, que cifran los archivos casi de la misma manera. Gillespie se puso a trabajar. La vulnerabilidad de VashSorena residía en un atajo que habían tomado los delincuentes. Para rastrear quién pagó el rescate y quién no, la nota de rescate de VashSorena asignó a cada víctima un número de identificación único. Esta era una práctica estándar en ransomware. También era estándar que, a cambio del pago, cada víctima recibiera una clave única para desbloquear los archivos cifrados. Lo que era inusual era que la identificación y la clave estaban relacionadas entre sí. Eso creó una oportunidad para Gillespie.
En julio de 2020, Gillespie había descifrado la primera versión de VashSorena. Pero, como solía hacer, mantuvo la noticia en secreto. Si los atacantes se enteraran, arreglarían la falla que explotó. Ayudar a los piratas informáticos a pulir su criptografía era lo último que quería hacer el equipo de caza. Si bien Gillespie rescató al menos a 40 víctimas que lo contactaron a través de BleepingComputer, no publicó su solución. Este enfoque discreto pareció funcionar: aunque los atacantes actualizaron VashSorena cinco veces, no solucionaron la debilidad identificada por Gillespie.
Usando el número de identificación de la nota de rescate proporcionada por la víctima, Gillespie irrumpió en el malware y generó la clave para desbloquear los archivos. Luego escribió un descifrador, un programa de computadora que la víctima puede ejecutar para recuperar datos. Generó una clave y se la envió a Matthew. “Eché otro vistazo”, escribió Gillespie. «En realidad es VashSorena, y pude romper tu llave».
Era tarde en la noche cuando Matthew recibió el mensaje. Siguiendo las instrucciones de Gillespie, recuperó el acceso al antiguo servidor y recuperó las fotos de los estudiantes y otros archivos. “Bueno, increíble”, escribió Gillespie. «Está funcionando. No puedo agradecerte lo suficiente. ¿Cómo lo hiciste? Los maestros y los niños de la escuela estarán muy agradecidos de que puedas ayudarlos”.
Mateo no había terminado. Envió una queja en línea a Google, preguntando por qué permitió que un atacante de ransomware usara Gmail. La empresa no respondió. La escuela londinense reconoció que, a pesar de su exiguo presupuesto, tenía que mejorar su ciberseguridad. A instancias de Matthew, compró un dispositivo de almacenamiento conectado a la red, o NAS, para respaldo adicional.
También tramó un plan para recuperar los 1.000 € de la pandilla VashSorena. Fingiendo que todavía necesitaba una llave, reanudó la negociación con ellos. “La única forma en que puedo volver a confiar en ti es que me devuelvas [el bitcoin]”, escribió. «Entonces te enviaré el total de 3000 euros para recuperar mis archivos».
Pero las pandillas de ransomware no dan reembolsos. “Lo siento”, escribió el hacker, poniendo fin a la conversación. “Si me dan esta oferta por otros 10 años, la rechazo”.Anuncio publicitario
Después de que un ataque de ransomware de alto perfil en mayo de 2021 en el Oleoducto Colonial detuviera el flujo de casi la mitad de todo el combustible consumido en la costa este de los EE. UU., cerrando estaciones de servicio en todo el sureste, el gobierno federal elevó el ransomware a la misma prioridad. nivel de terrorismo. El FBI se ha vuelto más dispuesto a cooperar con investigadores privados, incluido el Equipo de Caza de Ransomware. Pero los atacantes también se están volviendo más inteligentes. Su criptografía está mejorando y están eligiendo objetivos con más astucia. La batalla se está intensificando en ambos lados, y las empresas, las escuelas, los hospitales y las agencias gubernamentales deshabilitadas por el ransomware necesitarán al equipo más que nunca.
Este es un extracto editado de The Ransomware Hunting Team : A Band of Misfits’ Improbable Crusade to Save the World from Cybercrime , publicado por Farrar, Straus y Giroux el 25 de octubre de 2022 y disponible en guardianbookshop.co.uk
