Yo he negociado con los crackers en un ataque ransomware: nos pedían 1 bitcoin o perdíamos toda nuestra información
A finales de 2019, Alberto (nombre modificado para guardar su anonimato) detectó un problema en su trabajo. Él era el manager de un equipo de cuatro empleados que conformaban el departamento de IT en una mediana empresa andaluza (entre 50 y 250 empleados, entre 10 y 50 millones de euros de facturación anual), así que fue a quien le notificaron lo ocurrido: un maquetador había recibido —y abierto— un correo que parecía ser de un cliente habitual. El dominio e incluso el nombre eran muy similares. Ese correo incluía un archivo zip, algo frecuente en las bandejas de entrada del departamento de diseño. Ni el firewall ni el antivirus detectaron nada extraño. Sin embargo, dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrada.
"'Todo' es 'todo'. El servidor SAP (herramientas para la gestión empresarial), la administración, máquinas virtuales con aplicaciones corporativas, la web alojada en un servidor interno, los equipos de trabajo de todo el personal, los servidores de copias de seguridad, los NAS. Todo", recuerda Alberto justo dos años después del suceso.
Lo que estaba ocurriendo era un ataque ransomware, el mismo que recibió Telefónica en 2017 paralizando la actividad interna de la empresa y abriendo los informativos de aquel día. El precedente que había dado a conocer este tipo de ataques al gran público, más allá del sector de expertos en informática.
En este caso toda la actividad de la empresa se detuvo por completo, ya que toda su maquinaria depende de los recursos de red. Sin ellos, no hay nada que hacer. Así que todos los empleados fueron enviados a casa... salvo al grupo de informáticos, que tuvo que empezar a pensar qué hacer para recuperar la información cifrada. La pesadilla había empezado.
Pánico
"Había pánico en la empresa. Teníamos algunas copias en discos duros externos, pero parciales. La infraestructura SAP por ejemplo estaba perdida por completo, ya que esa parte no dependía de nosotros, sino de la empresa que nos daba la consultoría SAP. Contactamos con varias empresas para ver cómo podían ayudarnos, elegimos a la que más nos gustó y vinieron a intentar recomponernos y recuperar algo", explica Alberto.
Empezaron a trabajar juntos y descubrieron que el malware con el que lidaban era Phobos EKING (uno similar Ryuk, el que a principios de 2021 tumbó al SEPE). Un malware que cifra todos los archivos de la red atacada, salvo los que terminen en extensiones .exe o .dll (archivos ejecutables y librerías de Windows, respectivamente). El resto cambian a la extensión .eking. De esa forma, el sistema sigue funcionando de forma básica. Así la víctima puede descubrir un nuevo archivo de texto plano sin cifrar en su ordenador donde se informa de las condiciones del rescate. Eso ocurrió en este caso.
"La empresa que nos ayudó nos informó de que no existe vacuna para ese ransomware, que habría que desarrollar una a medida". Ahí empezaron a plantear costes con la dirección de la empresa, que sugirió evaluar la opción de pagar el rescate, que estaba fijado en un bitcoin, que en aquel momento cotizaba a unos 7.000 euros. La vacuna hubiese costado bastante más. "Ni la empresa de ciberseguridad ni la Guardia Civil nos aconsejaban pagar ese rescate. Nada garantizaba que nos dieran la clave para descifrar la red".
Puede sorprender que el rescate de todo el sistema e información de una empresa que factura millones de euros al año sea de tan solo 7.000 euros. Eso se debe a que los atacantes cifraron la información, pero no pudieron leerla, así que ni siquiera sabían si lo que estaban secuestrando era un entorno corporativo o uno doméstico. La empresa de ciberseguridad fue clara con ellos: "Nos dijeron que ni se nos ocurriera contactar con ellos usando el mail corporativo ni dijéramos nada que pudiera identificarnos, si lo hacíamos era muy probable que pidiesen mucho más dinero por el rescate", explica Alberto.
En ese momento, sopesando costes, la empresa decidió pagar y Alberto fue quien tuvo que comunicarse con los atacantes, siempre con discreción, haciéndose pasar por un particular. La comunicación fue en inglés escribiendo al correo de ProtonMail que dejaron en el archivo de texto sin cifrar, desde una cuenta de Gmail recién creada para no dejar pistas. Para demostrar que el método era seguro, se ofrecieron a descifrar varios ficheros, algo que la empresa de ciberseguridad trató de aprovechar para engañarles enviando una base de datos de ficheros clave para tratar de recuperarlos sin tener que pagar.
También propuso contraatacar enviándoles un malware que pudiera identificarlos, pero Alberto se negó. "Me pareció que eso podría anular el trato con ellos y finalmente me decanté por pagar, pese a las recomendaciones en contra". Eso sí, en los ficheros que envió de prueba se comprobó que no aparecía nada que pudiese dejar intuir el volumen de la empresa, como su número de empleados o incluso el hecho de que usasen SAP, un indicador suficiente para disparar la cuantía del rescate.
Tras efectuar el pago del bitcoin acordado, la empresa les facilitó un programa junto a una clave de recuperación y hasta el enlace de un vídeo de YouTube a modo de tutorial. Muy de andar por casa para estar tratándose de una empresa de decenas de millones de euros facturados cada año que de repente se había quedado sin nada.
Cicatrices
La prioridad absoluta era recuperar los archivos para que la empresa pudiera retomar su actividad. Sin eso, no había vuelta a la normalidad posible. "Yo me jugaba mi trabajo y el de mucha otra gente, la empresa lo había perdido todo. Sé que esto alimenta a la bestia y que una vez hubiese pagado me arriesgaba a que me atacaran todos los meses, pero asumí ese riesgo". Pagó el rescate y unas pocas horas después recibió un programa con la clave de descifrado. Llegó a pensar en la opción de pagar el rescate de su propio bolsillo para que la pesadilla acabase cuanto antes.
"Volvería a actuar de la misma forma, la situación era muy complicada y yo me jugaba el cuello"
"Lo recuperamos todo. Tuvimos algún problema con las máquinas virtuales, porque aunque se descifraron, algunas estaban corruptas, pero minimizamos mucho el desastre. A partir de ahí cambiaron muchas cosas. Hicimos más de diez copias de seguridad de los datos y segmentamos todo en discos diferentes por si había algún malware entre los ficheros".
Eso ocurrió de forma inmediata tras recuperarse del ataque. En los días posteriores se replanteó toda la infraestructura, se formateó todo y empezaron a tomar medidas "de verdad" para prevenir otro ataque como ese. Aquellos días coincidían con los últimos de un plazo para presentar un asunto relacionado con Hacienda, no pudieron presentar a tiempo los datos y les acarreó penalizaciones. Una minucia comparado con lo que acababan de vivir.
Preguntamos a Alberto si a día de hoy volvería a hacer lo mismo que hizo entonces. "Sí, sin duda. La situación era muy complicada y yo me jugaba el cuello. Cuando vimos que lo íbamos recuperando todo no nos lo creíamos, es raro decirlo así, pero fue una satisfacción muy grande, teníamos dudas y no sabíamos si iba a salir bien".
Un año y medio después, Alberto reconoce que aquel ataque le dejó ciertas secuelas que han alterado su rutina, incluso a nivel doméstico. "Tras aquello hago copias de seguridad de todo varias veces, compré varios NASpara mi casa, hago las copias en frío y luego desconecto los discos también...".
"En ransomware hemos visto de todo"
Habla Ramón Salado, CTO y fundador de BeeHackers, una empresa de ciberseguridad entre cuyos servicios está la gestión de ataques de ransomware como el que recibió la empresa de Alberto. "Nosotros siempre recomendamos no pagar, porque nadie te garantiza que a cambio te vayan a dar la clave para descifrar los archivos, y porque demuestras que estás dispuesto a pagar por lo que es tuyo, así que te volverán a atacar", explica Salado. No obstante, "se entiende que mucha gente lo pierde todo con un ataque así".
Ninguna empresa está a salvo por ser grande o pequeña: "Los ataques ransomware pueden afectar a cualquiera"
¿Hay algún tipo de empresa, por sector o por volumen, que tenga más posibilidades de ser atacada que otra? Según Ramón, no. "Esto puede afectar a cualquiera. Y con el boom del teletrabajo desde la pandemia se abrieron muchos purtos de Terminal Server (RDP de Windows), y ese es uno de los principales vectores de entrada. También vulnerabilidades como EternalBlue o ZeroLogon, que han facilitado el ataque de los ciberdelincuentes".
Los ataques no siempre son inmediatos como en la empresa de Alberto, sino que a veces, especialmente cuando se pueden exigir rescates más altos por el mayor volumen de negocio de la empresa, se cuecen a fuego lento.
"Una vez descubrimos que los atacantes llevaban dentro de la organización más de 70 días previos al cifrado. Habían estudiado todos los patrones de tráfico, cuándo se hacían copias de seguridad y dónde. Controlaron la red completa y lo infectaron todo, de esa forma acababan obligados a pagar", cuenta recordando el caso.
Doble y triple extorsión
Otra de las empresas que habitualmente prestan sus servicios en casos de ataques ransomware son las grandes consultoras. Un empleado de una de las que forman las Big 4 en España nos explica, bajo condición de anonimato, que especialmente en los últimos años se ha convertido en una práctica habitual, y que los precios de los rescates siempre son proporcionales a la facturación de la empresa. "A una pyme le piden 50.000 o 100.000 euros, no más. A una gran empresa le pueden pedir millones de euros".
"Los atacantes tienen estructuras muy profesionalizadas, como si fuesen empresas"
También nos explica que los atacantes tienen estructuras muy profesionalizadas, "como si fuesen empresas", con operadores 24/7 para comunicarse con las víctimas cuando éstas establezcan el contacto, jerarquías perfecamente organizadas, negociadores, especialistas en penetración en sistemas, etc.
Este empleado de una de las grandes consultoras nos cuenta cómo el modus operandi de estos atacantes se han hecho más perversos con el tiempo. "Antes se cifraban los ficheros y solo se entregaba la clave de cifrado tras recibir el pago del rescate. Luego llegó la doble extorsión: además de mantener cifrada la información, la publican online. En ese caso la empresa tiene que hacer frente a una multa de la Agencia Española de Protección de Datos por no haber protegido correctamente datos de carácter personal". Multas al margen, no pagar y acabar con los datos publicados en la red tiene otro componente: la crisis reputacional.
Y hay otro giro que aumenta la perversión: "Si sigues sin pagar, en algunos casos te amenazan con ataques DDoS —de denegación de servicio—, sobre todo si eres una empresa de gran tamaño que ofrece servicios online". Este tipo de ataques pueden dejar inaccesibles servicios enteros, algo que en empresas que ofrezcan únicamente online su producto significa una interrupción total de la actividad de su negocio. Por si fuera poco con perder el acceso a la información de la que depende la empresa y verla publicada en Internet.
Via Xakata