Rayo de esperanza en la lucha contra el ransomware: por qué este golpe contra una mafia de ciberdelincuentes se asestó 'en secreto'

Un hacker delante del ordenador.
Un hacker delante del ordenador.

Getty.

  • Emsisoft informa de que durante meses lograron explotar una vulnerabilidad en el ransomware de una banda criminal conocida como BlackMatter.
  • Detrás de esta herramienta de ataque estaban los integrantes de DarkSide, el ransomware que atacó el oleoducto de Colonial en EEUU hace unos meses.
  • La historia refleja cómo combatir el ransomware es posible, pero es necesario fortalecer la colaboración público-privada para ser 'mejores' que los criminales.
  • Descubre más historias en Business Insider España.

En ciberseguridad, responder a un ataque implica, la mayor parte de las veces, responder tarde. Tanto los expertos como la propia industria de la seguridad informática enfatizan en lo imprescindible que es contar con mecanismos de prevención y detección de riesgos. Cuando los ciberdelincuentes logran hacer saltar una cerradura, el daño ya está hecho.

Esto ocurre con los ataques con ransomware. El ransomware es un tipo de código malicioso que se ha convertido en los últimos años en uno de los ataques más prevalentes. Empresas en absolutamente todo el mundo pueden ser objetivo de mafias de cibercriminales que utilizan este tipo de herramientas para cifrar los archivos de sus víctimas.

Cuando lo han conseguido, piden un rescate a cambio.

En los últimos años el ransomware ha paralizado la operativa de empresas y administraciones. El caso más cercano y reciente en España es el incidente que afectó al Servicio de Empleo Público Estatal a principios de este 2021 y al propio Ministerio de Trabajo exactamente 3 meses después. Funcionarios como los propios inspectores de Trabajo vieron su labor ralentizada.

Por la misma naturaleza de un ataque con ransomware, estos incidentes se han convertido en uno de los más difíciles de resolver. Normalmente, cuando una mafia cifra los archivos y equipos de sus víctimas, a estas no les quedan muchas más opciones que o pagar el rescate en criptomonedas o rescatar todos los archivos posibles de una copia de seguridad.

Los ciberataques a pymes españolas crecen un 70% en 2021 y ya son más del doble de los que se registraban antes de la pandemia

El problema es que desde el año 2020 los ciberdelincuentes que operan este tipo de instrumentos también están acompañando el cifrado de los archivos de sus víctimas con el robo de información sensible, con la que garantizar una campaña de extorsión a cambio de los citados rescates.

Emsisoft, una multinacional de ciberseguridad de origen neozelandés, ha conseguido, sin embargo, algo que no es habitual. De forma muy discreta, consiguieron explotar una vulnerabilidad en el código de un ransomware que empleaba un colectivo de criminales conocido como BlackMatter. 

Precisamente, y hace apenas unos meses, un analista de esta firma, Brett Callow, confirmaba a Business Insider España uno de los peores augurios. "Da igual la cantidad de recursos que se inviertan, sus cifrados [los de un ransomware] no se pueden romper". 

A no ser que se tenga acceso a una brecha de seguridad en la operativa de los propios delincuentes.

Ciberdelincuentes que eran viejos conocidos

BlackMatter es el nombre que recibe un colectivo de ciberdelincuentes que impactan con ransomware en EEUU y Europa desde hace semanas. Emsisoft ha confirmado que detrás de BlackMatter están los mismos criminales que operaban otro colectivo de ransomware que hasta este mismo año se hacía conocer como DarkSide.

Su antiguo nombre te sonará de algo: DarkSide es el colectivo de ransomware que impactó este mismo año sobre Colonial Pipelines, propietaria de un gasoducto en EEUU. Cuando el ransomware paralizó su operativa durante días, la Administración Biden se vio obligada a decretar el estado de emergencia en parte del país, y hubo problemas con la escasez de suministros en varias gasolineras.

Los esfuerzos del FBI lograron recuperar parte del cuantioso rescate que Colonial se vio obligada a pagar para recuperar el control de sus sistemas informáticos. El montante se cifró entonces en millones de dólares. La labor policial hizo que DarkSide desapareciera del mapa... al menos durante un tiempo.

"Es la peor empresa de reconocimiento facial del mundo": varios proveedores de tecnología de videovigilancia se quejan de forma silenciosa de Clearview AI en una conferencia

BlackMatter le cogió el testigo, eso sí. Lo que no sospechaban los criminales de BlackMatter es que Emsisoft, para entonces, ya había podido auditar cómo operaba su ransomware y ya había concluido que se trataba del mismo tipo de herramienta. Gracias a sus análisis, detectaron una vulnerabilidad con la que las víctimas de este ransomware podían descifrar sus equipos informáticos.

Y completamente gratis.

La 'industria' del ransomware evoluciona constantemente. Los criminales destinan parte de sus inmensos botines a innovar y sofisticar sus técnicas. En julio apareció una página web del ransomware de BlackMatter donde el colectivo reivindicaría sus fechorías para extorsionar a sus víctimas. En dicha web el colectivo aseguraba que no atacaban ni a hospitales ni a infraestructuras críticas.

Una brecha abierta y el dilema de gestionarlo en secreto

Pero como desgrana Emsisoft en un artículo publicado en su propia web corporativa, el ransomware de BlackMatter no estaba exento de vulnerabilidades. ¿El problema? Anunciar su hallazgo permitiría a la banda organizada corregir sus errores y hacer el ransomware todavía más eficaz.

Por eso para la multinacional es imprescindible contar con la colaboración público-privada. Para garantizar que su hallazgo podía ser de utilidad a las víctimas de BlackMatter, Emsisoft se puso en contacto con muchas de estas empresas y administraciones de forma discreta para evitar que los criminales sospecharan nada.

"Queremos que en España haya un evento de ciberseguridad de 30.000 personas": el pasado, presente y futuro del mayor congreso hacker del país, contado por sus organizadores

De esta manera muchas de las víctimas lograron recobrar sus datos cifrados sin necesidad de pagar el rescate (la gasolina que permite a la industria de la ciberdelincuencia seguir operando) y ahorrarse así miles de dólares. "El final inevitable", eso sí, estaría al llegar: los criminales detectaron qué estaba sucediendo y repararon la vulnerabilidad en su ransomware.

La colaboración público-privada y el hallazgo de esta vulnerabilidad ha permitido, durante meses, que las víctimas de BlackMatter hayan encontrado una alternativa eficaz a recobrarse y no tener que pagar los rescates que exigen estos criminales tras sus fechorías. Por eso algunos medios han tildado esta historia como una "extraña victoria" en el juego "del gato y del ratón" que es el ransomware.

Otros artículos interesantes:

La UE quiere reducir el poder de las grandes empresas tecnológicas: esto es todo lo que se sabe sobre sus nuevas y ambiciosas propuestas

Este mensaje se hace pasar por Correos y es una estafa: si pinchas pueden suplantar tu identidad

Filtran la "lista negra" de nombres de Facebook: estos son los "terroristas" o "criminales" que están vetados en la red social

Te recomendamos