Se revelan detalles de la negociación con un grupo de ransomware

Los detalles de una semana de negociación entre la Universidad de California y un grupo de hackers de NetWalker han sido revelados por Bloomberg.

La Facultad de Medicina de la universidad estaba trabajando en una vacuna para el Covid-19 en junio de este año cuando siete de sus servidores fueron inhabilitados por los hackers. A pesar del consejo del FBI, la universidad tomó el asunto en sus propias manos y condujo negociaciones privadas.

El negociador de la universidad utilizó la adulación, apeló al sentido de la simpatía y la ética de los hackers, y se las arregló para reducir la cantidad de dinero del rescate de 6 millones de dólares, a poco más de 1 millón de dólares en Bitcoin (BTC) y restauró con éxito los sistemas.

Desde el principio, el negociador se aseguró de tener al hacker ‘operador’ de su lado, pidiendo respeto a ambas partes, “Estoy dispuesto a resolver esto con ustedes, pero tiene que haber respeto mutuo. ¿Estás de acuerdo?”. Antes de esperar una respuesta, también apelaron al orgullo del atacante:

“Leí sobre ustedes en Internet y sé que son un famoso grupo de hackers y muy profesionales. Espero que cumplan con su palabra cuando acordemos un precio, ¿ok?”

Esto parecía funcionar con la respuesta del operador: “Somos 100% respetuosos, y nunca faltaremos al respeto a un cliente que nos hable con respeto”.

Las negociaciones llegaron a un punto en el que cada parte se mostró muy dedicada, y el negociador se quejó de que todos los fondos se habían invertido en la investigación y que no quedaba ninguno disponible.

Dándose cuenta del evidente engaño, el operador respondió que una escuela que recauda más de 7 mil millones de dólares en ingresos anuales no debería tener problemas para pagar unos pocos millones:

” Debes entender que, como gran universidad […] puedes recaudar ese dinero en un par de horas. Necesitas tomarnos en serio”.

La primera oferta de la universidad fue de $780,000 y también fue rechazada por el operador. “Guarda esos $780k para comprar McDonald’s para todos los empleados. Es una cantidad muy pequeña para nosotros”, y añadió: “Lo siento”.

Más tiempo… para ambos lados

Como es típico en las negociaciones de rescate, el negociador pidió dos días más para permitir que “el comité universitario que toma todas las decisiones” se reúna de nuevo. El operador estuvo de acuerdo con la condición de que el rescate de $3 millones se duplicara a $6 millones.

Un negociador de Tel Aviv, Moty Cristal, le dijo a Bloomberg que la prórroga podría haber sido útil para los atacantes también, dándoles tiempo para identificar el valor de sus datos robados.

El grupo Netwalker es una empresa criminal a gran escala y alquila su software mediante un programa de estilo franquicia. El grupo publicó un anuncio de reclutamiento en marzo de este año, añadiendo nuevos afiliados a su red.

Cada vez más personal

En este punto, ya sea por desesperación o como estrategia psicológica, el negociador comenzó a apelar a la compasión del operador. “No he dormido en un par de días porque estoy tratando de resolver esto para ti”, le dijeron, “Estoy siendo visto como un fracaso por todos aquí y es mi culpa que esto esté sucediendo”.

“Cuanto más tiempo pase, más me odio […] Todo lo que pido es que seas el único de mi vida en este momento que me trate bien. Eres el único que sabe exactamente por lo que estoy pasando”.

El operador pareció responder: “Amigo mío, su equipo debe entender que este no es tu fracaso. Todos los dispositivos de Internet son vulnerables”.

Cuatro días después del ataque, el negociador regresó con una oferta de más de 1 millón de dólares, diciendo que estaban doblando sus reglas internas para aceptar una donación adicional de $120 mil dólares, con el argumento de que las negociaciones terminarían. Incluso añadieron la presión del tiempo:

“Normalmente no podemos aceptar estas donaciones, pero estamos dispuestos a hacer que funcione sólo si aceptas terminar esto rápidamente.”

La universidad pasó 36 horas organizando la compra de 116 Bitcoin ($1.14 millones) y enviando los fondos a los atacantes. Se necesitaron dos días más para que los hackers confirmaran el borrado de todos los datos importantes y devolvieran el acceso a la universidad.

Después de más de ocho días sin acceso, la universidad consiguió con éxito ingresar por completo a todos sus servidores. Sin embargo, los servidores permanecieron desconectados mientras investigaban el incidente con el FBI y otros consultores de seguridad cibernética. En la última actualización del 26 de junio, la universidad declaró que la investigación seguía en curso.

Sigue leyendo: