Negociar con los delincuentes de ransomware crea nuevos negocios para los profesionales de la seguridad

Un enjambre creciente de ataques de ransomware ha creado una industria artesanal de genios de la tecnología dispuestos a hacer lo que las empresas y las fuerzas del orden no hacen: negociar con los ciberdelincuentes que están tomando sistemas y datos como rehenes.

La política declarada del FBI es que no negocia con los ciberataques, de la misma manera que no negocia con los terroristas. Esa negativa ha ayudado a abrir un mercado para los profesionales privados de ciberseguridad que se especializan en interactuar con los atacantes en nombre de las víctimas que han tomado la difícil decisión de pagar en lugar de esperar a que el gobierno resuelva su caso.

El aumento de los ataques contra las víctimas con un incentivo a pagar ha creado una gran cantidad de trabajo potencial que no existía hace unos años. El FBI está investigando «alrededor de cien variantes diferentes» de ransomware responsable de decenas a cientos de ataques, dijo Tonya Ugoretz, subdirectora adjunta de la División Cibernética del FBI. Ella dijo que tal vez hubo un puñado de variantes tan impactantes hace uno o dos años.

La empresa de ciberseguridad GroupSense manejó su primer caso de negociación de ransomware el año pasado, dijo su fundador, Kurtis Minder. Dijo que la primera negociación de la compañía de Arlington, Virginia, llevó a los bufetes de abogados que asistían a las víctimas y a una compañía de seguros cibernéticos involucrada en el caso a remitirle un excedente de trabajo.

Después de que el Sr. Minder agregó la negociación de ransomware a las ofertas en el sitio web de su empresa a instancias de un bufete de abogados, dijo que recibió más solicitudes de sus servicios, especialmente de aquellos que no podían pagar costosos abogados o una póliza de seguro para cubrir los reveses digitales. .

El Sr. Minder, sin embargo, no era un negociador capacitado. Rápidamente se puso al día leyendo libros y tomando clases en línea, particularmente viendo los videos de MasterClass de Chris Voss, un ex negociador de rehenes del FBI. También se apoyó en sus conexiones entre funcionarios federales.

“Pedí muchos favores, como si acabara de llamar a personas que sabía que eran negociadores capacitados y les hice preguntas”, dijo Minder. “Les di escenarios específicos por los que estaba pasando mientras los repasaba y les decía: ‘¿Qué harías tú?’ Así que aprendí en el trabajo, me gusta decir que construí la bicicleta mientras la montaba ”.

Ahora, el equipo de negociación de ransomware de Minder cuenta con tres negociadores principales y varios analistas que hablan más de una docena de idiomas. Los negociadores se centran en la interacción con la víctima y en la elaboración de mensajes para los ciberdelincuentes, mientras que los analistas manejan los aspectos técnicos de la conversación en la web oscura y realizan el trabajo forense necesario para comprender al adversario.

Información como la atribución de la identidad del atacante, el monto del rescate que el atacante a menudo aceptará y las transacciones que los atacantes completaron recientemente se recopilan y colocan en un portal donde el cliente de GroupSense puede revisar los datos en tiempo real. El equipo del Sr. Minder también tiene un escriba que toma notas detalladas de sus estrategias para que los clientes las vean en el portal.

“Antes de enviar cualquier mensaje, no importa si es ‘hola’ o si es la oferta real, obtenemos la aprobación del cliente. Cada mensaje ”, dijo Minder. «Y a algunos clientes les gusta involucrarse, como si fuera espía versus espía para ellos».

Dijo que los adversarios a menudo hablan inglés como segundo idioma y que su equipo no tiene el beneficio de usar el contacto visual o cambiar la entonación vocal cuando negocia en el ciberespacio. Como resultado, la cadencia de los mensajes digitales, la elección del idioma y los pequeños detalles, como cuándo, si alguna vez, usar letras mayúsculas, pueden resultar cruciales.

Minder dijo que insta a sus clientes a alertar a la policía y al FBI con la esperanza de que el gobierno esté haciendo un inventario de los casos, incluidos los detalles sobre qué rescates se pagaron y recopilando otra información.

Cuando se le preguntó si los agentes del FBI están capacitados para interactuar o negociar con los ciberatacantes, Ugoretz dijo que el FBI tiene expertos en negociación de crisis, pero se negó a proporcionar detalles adicionales sobre la capacitación cibernética de los agentes.

El FBI ha abogado por no pagar rescates, pero quiere que las víctimas se comuniquen con ellos independientemente de si eligen pagar a los atacantes digitales.

“Si, en el caso del ransomware, nos enteramos de que una entidad está en una negociación con un actor de ransomware o está pensando en pagar un rescate, cuanto antes nos traigan, es más probable que podamos ayudar. ”Dijo la Sra. Ugoretz.

En el caso del ataque de ransomware contra el principal proveedor de combustible de EE. UU. Colonial Pipeline, el FBI fue convocado antes de que la compañía decidiera pagarle al atacante, y la oficina finalmente ayudó a recuperar alrededor de $ 2.3 millones en criptomonedas, la mayor parte del pago realizado por el oleoducto. empresa.

Pagar a los atacantes de ransomware molesta a otras agencias federales porque puede fomentar futuros ataques y violar las sanciones impuestas por el gobierno de EE. UU. En octubre pasado, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro advirtió que las empresas que realizan o permiten pagos a atacantes que son sancionados por el gobierno de Estados Unidos corren el riesgo de violar las leyes que conllevan sanciones civiles. Conocer las violaciones de las reglas de la OFAC y las leyes relacionadas podría generar responsabilidad penal, según un análisis del bufete de abogados Jones Day.

Pero averiguar si un ataque individual está vinculado a una entidad sancionada por el gobierno de EE. UU. Puede ser difícil. Por ejemplo, la empresa DarkSide que atacó a Colonial Pipeline utilizó un modelo de ransomware como servicio en el que los desarrolladores de software malicioso y los afiliados que lo implementan comparten partes de los pagos de las víctimas.

El presidente Biden ha vinculado al grupo DarkSide con Rusia, y DarkSide anunció planes el año pasado para usar servidores en Irán, según la publicación tecnológica Bleeping Computer.

Ya sea que los atacantes que usaban el servicio de DarkSide fueran entidades sancionadas o no, Bleeping Computer informó que el uso previsto de DarkSide de la infraestructura en Irán llevó a la firma de negociación de ransomware Coveware a dejar de facilitar los pagos a DarkSide dadas las sanciones existentes contra Irán.

El director ejecutivo de Colonial Pipeline, Joseph Blount, dijo a un comité del Senado que su empresa no tenía contacto directo con los atacantes, pero contrató negociadores y personal legal que verificaron repetidamente para asegurarse de que el pago de su empresa no violaría las reglas de la OFAC.

Los abogados de la empresa de oleoductos incorporaron la división Mandiant de la firma de ciberseguridad FireEye antes de que la empresa decidiera pagar el rescate, según el testimonio del comité de la Cámara de Representantes de Charles Carmakal, vicepresidente senior y director de tecnología de FireEye Mandiant.

Carmakal se negó a proporcionar detalles a The Washington Times cuando se le preguntó qué consejo le dio a Colonial Pipeline sobre cómo evaluar si pagar el rescate.

“Una cosa que no hacemos es que no negociaremos con los actores de amenazas. No nos comunicaremos con ellos. No nos involucramos en el pago de todos los actores de amenazas ”, dijo Carmakal. “Ahora, una cosa que hacemos a veces con las organizaciones que lo solicitan es que las ayudaremos a pensar en el proceso de involucrar potencialmente a un actor de amenazas en una comunicación o potencialmente pagarle. Así que los guiaremos a través de estos son ciertos criterios de decisión «.

Entonces, la decisión se deja en manos de la víctima.

Para evitar ser víctima de un ataque de ransomware, Ugoretz abogó por el uso de autenticación multifactor y parchear vulnerabilidades comunes para bloquear los puntos de acceso iniciales que los atacantes usan para violar los sistemas.

Minder dijo que los agentes de acceso inicial compran sus filtraciones a bandas de ransomware en mercados clandestinos, alertando a muchos posibles atacantes sobre posibles objetivos. Dijo que la sofisticación técnica necesaria para lanzar un ataque es «casi nada».

«Esto es totalmente prevenible, es un problema de higiene cibernética», dijo Minder. “Quiero decir, pero creo que lo principal es que algunas personas simplemente asumen que estos tipos malos tienen estas herramientas cibernéticas realmente sofisticadas. No lo hacen y no tienen por qué hacerlo. Es superfácil «.

Minder también dijo que insta a las víctimas a no buscar en Google negociadores de ransomware para que no sean víctimas de estafadores que se hacen pasar por negociadores. En cambio, abogó por consultar a un bufete de abogados para conectar a las víctimas con la ayuda adecuada.

Dijo que su equipo no ve la negociación de ransomware como un generador de ganancias (ha cobrado una tarifa por hora con un límite), pero utiliza el servicio para encontrar clientes potenciales que probablemente también necesiten otros productos de ciberseguridad de su empresa.

Regístrese para recibir boletines informativos diarios