El ransomware ha afectado durante mucho tiempo a los municipios estadounidenses. El ataque que afectó a la ciudad de Columbus, Ohio, en julio de este año, parecía un típico ataque de ransomware. Pero la respuesta de la ciudad al ataque fue inadecuada, y expertos legales y de ciberseguridad de todo el país están cuestionando sus motivos.
Connor Goodwolf (nombre real David Leroy Ross) es un consultor de TI que investiga la web oscura como parte de su trabajo. “Hago un seguimiento de los crímenes de la web oscura, el crimen organizado y casos como aquel en el que arrestaron al director ejecutivo de Telegram”, dijo Goodwolf.
Entonces, cuando se corrió la voz de que su ciudad natal de Columbus había sido invadida, Goodwolf hizo su investigación habitual en línea. Los piratas informáticos no tardaron mucho en descubrir qué habían conseguido.
“No fue la infracción más grande, pero sí una de las más impactantes que he visto”, dijo Goodwolf.
Goodwolf explicó que en cierto modo se trataba de una intrusión de rutina, con información de identificación personal, información de salud protegida, números de Seguro Social y fotografías de licencias de conducir expuestas. Sin embargo, fue más extendido que otros ataques porque se vieron comprometidas varias bases de datos. Goodwolf dijo que los piratas informáticos violaron varias bases de datos de la ciudad, la policía y la fiscalía. Contenía registros de arrestos e información confidencial sobre menores y víctimas de violencia doméstica. Algunas de las bases de datos comprometidas se remontan a 1999, dijo Goodwolf.
Goodwolf descubrió más de 3 terabytes de datos que tardaron más de 8 horas en descargarse.
“Lo primero que vi fue la base de datos del fiscal y pensé: 'Dios mío'. Estas son víctimas de violencia doméstica. Cuando se trata de víctimas de violencia doméstica, no las queremos. Necesitan estar más protegidas porque tienen Ya fueron victimizados una vez y ahora están siendo victimizados nuevamente con su información expuesta”, dijo.
La primera acción de Goodwolf fue ponerse en contacto con la ciudad y decirles la gravedad de la infracción. Porque lo que vio contradecía el anuncio oficial. En una conferencia de prensa el 13 de agosto, el alcalde de Columbus, Andrew Ginther, dijo: “Los datos personales que los actores de amenazas publican en la web oscura están cifrados o corruptos, por lo que la mayoría de los datos que obtienen los actores de amenazas son inutilizables”.
Pero lo que encontró Goodwolf no respalda esa opinión. “He intentado numerosas veces comunicarme con varios departamentos de la ciudad y me han ignorado”, dijo Goodwolf.
Mandiant de Google y muchas otras empresas líderes en ciberseguridad rastrean el continuo aumento tanto en la prevalencia como en la gravedad de los ataques de ransomware y el ascenso de Rhysida Group, la compañía detrás del hackeo de alto perfil de Columbus del año pasado.
Rhysida Group se atribuyó la responsabilidad del ataque. No se sabe mucho sobre este grupo cibernético, pero Goodwolf y otros expertos en seguridad dicen que está patrocinado por el Estado, con sede en Europa del Este y que puede tener vínculos con Rusia. Goodwolf dijo que estos grupos de ransomware son “organizaciones profesionales” con personal, tiempo libre remunerado y portavoces.
“Han intensificado sus ataques y objetivos desde el otoño pasado”, afirmó.
La Agencia de Seguridad de Infraestructura y Ciberseguridad del gobierno de Estados Unidos publicó un boletín sobre Rhysida en noviembre pasado.
Goodwolf dijo que acudió a los medios de comunicación locales y compartió los datos con periodistas para tratar de educar al público sobre la gravedad de la infracción después de que nadie de los funcionarios de la ciudad respondiera. Luego, la ciudad de Columbus presentó una demanda y presentó una orden de restricción temporal que impide que se divulgue más información.
La ciudad defendió su respuesta en un comunicado a CNBC.
“La ciudad inicialmente tomó medidas para obtener esta orden del tribunal para evitar la divulgación de información clasificada y secreta que podría amenazar la seguridad pública y las investigaciones criminales, incluida la identidad de agentes de policía encubiertos”.
La orden judicial preliminar de 14 días de la ciudad contra Goodwolf ha expirado y ya existe una orden judicial preliminar, con un acuerdo vigente con Goodwolf para no revelar más datos.
“Cabe señalar que la orden judicial no prohíbe a los acusados hablar sobre la violación de datos o incluso describir qué datos fueron comprometidos”, añadió el comunicado de la ciudad. “Esta orden sólo prohíbe a las personas difundir datos robados publicados en la web oscura. La ciudad continúa trabajando con las autoridades federales y expertos en ciberseguridad para abordar esta intrusión cibernética. “es”
Mientras tanto, el alcalde se vio obligado a disculparse en una conferencia de prensa posterior, afirmando que su declaración original se basó en información que tenía en ese momento. “La información que teníamos en ese momento era la mejor que podía haber. Obviamente resultó ser inexacta y tengo que asumir la responsabilidad por ello”.
Al darse cuenta de que los residentes estaban sufriendo más daños de lo que se pensaba originalmente, la ciudad comenzó a ofrecer dos años de servicios gratuitos de monitoreo de crédito de Experian. Esto incluye a cualquier persona que haya tenido contacto con la Ciudad de Columbus a través de arrestos u otros negocios. La Ciudad de Columbus también está trabajando con la Sociedad de Ayuda Legal para determinar qué protecciones adicionales pueden necesitar las víctimas de violencia doméstica si están en riesgo o necesitan ayuda con una orden de protección civil.
Hasta la fecha, la ciudad no ha pagado a los piratas informáticos el rescate de 2 millones de dólares que habían exigido.
“Él no es Edward Snowden.”
Quienes estudian derecho de ciberseguridad y trabajan en este campo expresaron su sorpresa de que Columbus presentara una demanda civil contra los investigadores.
“Las demandas contra investigadores de seguridad de datos son raras”, dijo Raymond Koo, profesor de derecho en la Universidad Case Western Reserve. En los raros casos en que se producen demandas, generalmente son para revelar cómo los investigadores han explotado o podrían explotar una falla, haciendo posible que otros exploten la falla. Él dice que este es el caso.
“Él no es Edward Snowden”, dijo Kyle Hanslovan, director ejecutivo de la firma de ciberseguridad Huntress, quien dijo que está preocupado por la respuesta de la ciudad de Columbus y cómo afectará a futuras violaciones de datos. Snowden, un empleado contratado por el gobierno que enfrentó cargos penales por filtrar información clasificada, se consideraba un denunciante. Hanslovan dijo que Goodwolf era un buen samaritano que descubrió de forma independiente los datos filtrados.
“En este caso, que yo sepa, parece que hicieron lo mínimo y silenciaron a lo que parece ser un investigador de seguridad que confirmó que la declaración oficial no era cierta. Este es un uso apropiado de los tribunales. No es una ley”. dijo Hanslovan, prediciendo que el caso sería revocado rápidamente.
El fiscal de la ciudad de Columbus, Zach Klein, dijo en una conferencia de prensa en septiembre que el caso “no se trata de libertad de expresión o denuncia de irregularidades. Se trata de la descarga y divulgación de registros de investigaciones criminales robados”.
A Hanslovan le preocupa el efecto colateral que podría tener el hecho de que los consultores e investigadores en ciberseguridad se vean disuadidos de hacer su trabajo por temor a demandas. “El problema más importante aquí es que están surgiendo nuevos métodos para silenciar a las personas en respuesta al pirateo”, afirmó. Esto no es algo que debamos acoger con agrado. “Silenciar opiniones, aunque sea durante 14 días, es suficiente para evitar que salgan a la luz hechos fiables, y eso me asusta”, afirmó Hanslovan. “Esa voz necesita ser escuchada. Me preocupa que cuanto más grande sea el incidente de ciberseguridad, más gente estará interesada en sacarlo a la luz”.
Scott Dylan, fundador de la firma de capital riesgo NexaTech Ventures, con sede en el Reino Unido, también cree que las acciones de Columbus podrían tener un efecto paralizador en el campo de la ciberseguridad.
“A medida que el campo del derecho cibernético madure, es probable que se haga referencia a este caso en futuras discusiones sobre el papel de los investigadores después de una violación de datos”, dijo Dylan.
Dice que el marco legal necesita evolucionar para mantenerse al día con la creciente sofisticación de los ciberataques y los dilemas éticos que plantean, y que el enfoque adoptado por Columbus es el equivocado.
Mientras tanto, para Goodwolf, el proceso legal continuará. La ciudad de Columbus y Goodwolf llegaron a un acuerdo de liberación la semana pasada, pero la ciudad todavía está demandando a Goodwolf en una demanda civil por daños que podrían ascender a más de $25,000. Goodwolf dijo que se representa a sí mismo en las negociaciones con la ciudad, pero que tiene un abogado disponible si es necesario.
Algunos residentes han presentado una demanda colectiva contra la ciudad. Goodwolf dijo que el 55% de la información filtrada se vendió en la web oscura, y el 45% restante estaba disponible para cualquiera con las habilidades para acceder a ella.
Dylan cree que incluso si las acciones de la ciudad son legalmente defendibles, la ciudad corre un enorme riesgo al dar la impresión de que está tratando de sofocar el debate en lugar de aumentar la transparencia. “Esta es una estrategia que podría resultar contraproducente tanto en términos de confianza pública como de futuros litigios”, afirmó.
“Espero que la ciudad se dé cuenta del error de presentar una demanda civil y de las implicaciones que van más allá de la seguridad”, dijo Goodwolf, señalando que Intel, con un importante apoyo federal, ha señalado la instalación de fabricación de semiconductores de mil millones de dólares que se está construyendo en las afueras de Columbus. . La ciudad se ha posicionado en los últimos años como un nuevo centro tecnológico en el “Silicon Heartland” del Medio Oeste, y los ataques a los sombreros blancos y a los investigadores de ciberseguridad podrían llevar a algunos en la industria tecnológica a reconsiderar el uso de la ciudad como un centro. .
https://www.cnbc.com/2024/09/15/dark-web-expert-warned-us-hometown-about-big-hack-the-city-is-suing.html