Para los ejecutivos y líderes de seguridad, probablemente sea el peor día de su vida profesional cuando su organización se ve comprometida por un intruso en la red, los sistemas críticos se bloquean, se roban datos y posteriormente se exige un rescate.
Pero las cosas pueden empeorar mucho, como lo experimentaron algunos ejecutivos que recientemente fueron infectados con el ransomware Hazard. Después de pagar el dinero del rescate a cambio de la herramienta de descifrado para restaurar los archivos cifrados, la herramienta de descifrado no funcionó.
El Registro no ha hablado con los grupos de víctimas del caso. Los líderes del grupo se negaron a ser entrevistados sobre sus experiencias, por lo que no hay detalles disponibles.
Aún así, la mejor manera de salir de esta situación, ya sea por preocupaciones sobre la privacidad de los datos de sus clientes o empleados, para que sus operaciones comerciales vuelvan a estar en línea, para minimizar el daño a la reputación o porque no tenía ninguna copia de seguridad (ups). Supongo que llegar a la conclusión de que pagarle dinero a un chantajista fue una decisión bastante dolorosa en sí misma.
Sin embargo, es realmente doloroso pagar dinero a delincuentes y aún así no poder recuperar tus archivos.
“El ransomware en su conjunto es extremadamente estresante para las víctimas”, afirmó Mark Rance, negociador de ransomware de Guidepoint Security. “Especialmente en esta situación en la que pagaste dinero y la herramienta de descifrado no funciona, el nivel de estrés sube varios niveles”.
En el transcurso de una semana, hubo dos incidentes en los que la herramienta de descifrado no funcionó.
“En este caso y en muchas situaciones como esta, dependen en gran medida de las capacidades de descifrado de códigos que funcionan en ciertos sistemas para recuperar operaciones”, dijo Lance al Register.
“Están pensando: 'Oye, pagamos un gran rescate, pero hemos establecido la condición de que si pagamos, obtendremos acceso', por lo que el estrés aumenta significativamente”.
Después de que las organizaciones infectadas inicialmente no pudieron descifrar los archivos, obtuvieron de los delincuentes la última versión de la herramienta de descifrado, que tampoco funcionó. Una empresa externa involucrada en las negociaciones sobre el ransomware se puso en contacto con Guidepoint, quien primero se comunicó con el servicio de “soporte técnico” del delincuente y les informó que las víctimas necesitaban una versión diferente de la herramienta de descifrado.
Sin embargo, en lugar de proporcionar una herramienta para desbloquear archivos cifrados, los delincuentes enviaron una versión renombrada de la herramienta de descifrado anterior. “Y en ese momento, se quedaron en silencio y dejaron de contactar a la víctima”, dijo Lance. “En este caso, creo que probablemente estaba más allá de la comprensión del equipo de soporte técnico”.
Cualquiera sea el motivo, la organización no pudo acceder a los archivos bloqueados y el equipo del ransomware Hazard desapareció. Finalmente, GuidePoint parchó el binario de descifrado, lo forzó de forma bruta contra 16.777.216 valores posibles, identificó los bytes críticos que faltaban en el proceso de cifrado y finalmente descifró el archivo. Hemos creado una herramienta práctica para ayudarle.
Sin embargo, debes tener en cuenta que pagar el rescate no garantiza que tus datos serán recuperados.
¿Qué sucede al descifrar?
“Uno de nuestros principales trabajos es educar a las víctimas sobre lo que pueden esperar y lo que sucede en un incidente de ransomware”, explicó Lance.
“Además, siempre enfatizamos que no importa cuál sea el acuerdo, la otra parte sigue siendo un delincuente y la persona que extorsiona su dinero sigue siendo un delincuente. Hablan con entusiasmo sobre lo que están haciendo y dicen que tienen una tasa de éxito del 100%. descifrando el código, pero son ciberdelincuentes y no puedes confiar en ellos.
La frecuencia de estos casos en los que el equipo de descifrado de códigos falla “va y viene”, añadió.
Guidepoint señaló que durante las negociaciones sobre ransomware y la respuesta a incidentes que llevó a cabo el equipo, esto no había sucedido durante varios meses, “pero en el espacio de una semana, hubo dos casos en los que la herramienta de descifrado no funcionó”.
Algunos de los grupos de ransomware como servicio más “sofisticados” cuentan con equipos de soporte técnico internos para una resolución de problemas más avanzada. Lance señala que su equipo ha visto a estos equipos escalar el problema a miembros de la organización criminal con más habilidades técnicas cuando algo sale mal. Esto es exactamente lo mismo que cualquier operación informática normal y no delictiva, afirmó.
También hay trabajadores recién llegados y menos experimentados que tal vez ni siquiera puedan asumir el siguiente nivel de esfuerzos de recuperación de datos debido a una falta de destreza técnica o preocupaciones de reputación (más sobre esto más adelante).
Resulta que existen varias razones por las que una herramienta de descifrado podría no funcionar. En el incidente del ransomware Hazard, hubo un error en la herramienta de descifrado. Los grupos criminales pueden proporcionar herramientas en entornos de TI inapropiados, volviéndolos inútiles. O puede que simplemente estén intentando engañar a la víctima.
La última situación no ocurre muy a menudo. Este es un negocio para estafadores, y una vez que adquieran la reputación de no descifrar datos incluso después de recibir el rescate, no podrán seguir ganando grandes cantidades de dinero con futuras víctimas.
Las empresas comprometidas deben considerar todos estos factores, y también influyen en la educación que GuidePoint y otros servicios de respuesta a incidentes brindan a las víctimas de ataques.
“Hemos logrado grandes avances en educación y concientización”, explica Lance. “La gente está viendo el impacto real del ransomware porque entiende que se trata de un problema empresarial, no sólo de seguridad o de TI”.
Añadió que, si bien solía haber más estigma en torno a la divulgación de ataques de ransomware, “más personas dicen que también se han visto afectadas. Demos a otros la oportunidad de aprender y aprovechar lo que estamos experimentando”, añadió. ®
https://packetstormsecurity.com/news/view/36323/When-You-Pay-A-Ransom-And-The-Decryptor-Doesnt-Work.html