Piratería: el ransomware persiste incluso después de que los ataques de alto perfil se hayan ralentizado


En los meses transcurridos desde que el presidente Joe Biden advirtió a Vladimir Putin de Rusia que debía tomar medidas enérgicas contra las bandas de ransomware en su país, no ha habido un ataque masivo como el que provocó la escasez de gasolina en mayo pasado. Pero eso es un pequeño consuelo para Ken Trzaska.

Trzaska es presidente de Lewis & Clark Community College, una pequeña escuela en Illinois que canceló clases durante días después de un ataque de ransomware el mes pasado que desconectó sistemas informáticos críticos.

«Ese primer día», dijo Trzaska, «pensé que probablemente todos estábamos despiertos durante más de 20 horas, simplemente avanzando en el proceso y tratando de abrazar lo que sucedió».

Si bien Estados Unidos actualmente no tolera ataques de ransomware de primera plana a gran escala comparables a los de principios de este año que tenían como objetivo el suministro mundial de carne o impedían que millones de estadounidenses llenaran sus tanques, el problema no ha desaparecido. De hecho, el ataque a la universidad de Trzaska fue parte de una serie de episodios menos conocidos que volvieron locos a las empresas, gobiernos, escuelas y hospitales que lo golpearon.

La terrible experiencia universitaria refleja los desafíos que enfrenta la administración de Biden para contrarrestar la amenaza, y su progreso desigual desde que el ransomware se convirtió en un problema de seguridad nacional urgente la primavera pasada.

Los funcionarios estadounidenses han recibido algunos pagos de rescate, han tomado medidas contra el abuso de criptomonedas y han realizado algunos arrestos. Las agencias de espionaje han lanzado ataques contra grupos de ransomware, y EE. UU. Ha instado a los gobiernos federal, estatales, locales y al sector privado a intensificar la protección.

Pero seis meses después de las advertencias de Biden a Putin, es difícil decir si los piratas informáticos se han relajado debido a la presión de Estados Unidos. Continúan los ataques más pequeños, y los delincuentes de ransomware continúan operando fuera de Rusia aparentemente con impunidad. Los funcionarios del gobierno se contradicen a sí mismos sobre si el comportamiento de Rusia ha cambiado desde el verano pasado. Para empeorar las cosas, el ransomware ya no ocupa un lugar destacado en la agenda de Estados Unidos y Rusia, y Washington se centra en disuadir a Putin de invadir Ucrania.

La Casa Blanca dijo que estaba decidida a utilizar sus diversas herramientas para «combatir todo el ransomware», pero la respuesta del gobierno dependería de la gravedad del ataque.

«Hay algunos que son asuntos de aplicación de la ley y otros que son actividades de ransomware disruptivas y altamente efectivas que representan una amenaza directa para la seguridad nacional y requieren otra acción», dijo el comunicado.

Los ataques de ransomware, en los que los piratas informáticos bloquean los datos de las víctimas y exigen que se devuelvan sumas exorbitantes de dinero, surgieron como una emergencia de seguridad nacional para el gobierno luego de un ataque al Oleoducto Colonial en mayo, que suministra casi la mitad del combustible consumido en el este. costa.

El ataque provocó que la empresa cesara sus operaciones, provocando escasez de gas durante días, a pesar de que reanudó sus operaciones tras pagar más de 4 millones de dólares en rescate. Poco después, el procesador de carne JBS fue atacado y pagó un rescate de $ 11 millones.

Biden se reunió con Putin en Ginebra en junio, donde propuso que los sectores de infraestructura crítica de ransomware fueran «ilegales» y dijo que Estados Unidos debería saber en seis meses a un año «si tenemos un acuerdo de ciberseguridad que comience a traer algún orden».

Repitiendo el mensaje en julio, días después de un gran ataque a la empresa de software Kaseya que afectó a cientos de empresas, dijo que esperaba que Rusia tomara medidas contra los ciberdelincuentes si Estados Unidos proporcionaba suficiente información al respecto.

Desde entonces, ha habido algunos ataques notables por parte de grupos que se cree que tienen su sede en Rusia, incluido el Sinclair Broadcast Group y la Asociación Nacional del Rifle, pero ninguna de las mismas consecuencias o efectos que los de la primavera o el verano pasado.

Una razón podría ser un mayor escrutinio o temor al gobierno de los Estados Unidos.

El gobierno de Biden aprobó un cambio de moneda virtual con sede en Rusia en septiembre que, según los funcionarios, ha ayudado a las bandas de ransomware a lavar dinero. El mes pasado, el Departamento de Justicia expuso los cargos contra un presunto operador de ransomware ucraniano que fue arrestado en Polonia y robó millones de dólares en dinero de rescate. El general Paul Nakasone, jefe del Comando Cibernético de EE. UU., Dijo al New York Times que su agencia había iniciado operaciones ofensivas contra grupos de ransomware. La Casa Blanca dice que los esfuerzos de «todo el gobierno» continuarán.

«Creo que la gente de ransomware que los ejecuta está dando un paso atrás y diciendo: ‘Oye, si hacemos esto, el gobierno de EE. UU. Nos perseguirá agresivamente’ », dijo Kevin Powers, asesor de estrategia de seguridad de la firma de riesgo cibernético CyberSaint, sobre los ataques. sobre infraestructuras críticas.

Mientras tanto, los funcionarios estadounidenses han revelado una pequeña cantidad de nombres de presuntos operadores de ransomware a funcionarios rusos que dijeron que habían iniciado investigaciones, según dos personas familiarizadas con el asunto a las que no se les permitió hablar en público.

No está claro qué hará Rusia con estos nombres, aunque el portavoz del Kremlin, Dmitry Peskov, insistió en que los países mantuvieron un diálogo útil, diciendo que «se ha puesto en marcha un mecanismo de trabajo y está funcionando».

También es difícil medir el impacto de las detenciones individuales sobre la amenaza general. Mientras que el presunto pirata informático ransomware aguarda la extradición a Estados Unidos después de su arresto en Polonia, un tabloide británico informó más tarde que otro, acusado por fiscales federales, vivía cómodamente en Rusia y conducía automóviles de lujo.

Algunos son escépticos cuando se trata de atribuir una caída en los ataques de alto perfil a los esfuerzos de Estados Unidos.

«Podría haber sido simplemente una coincidencia», dijo Dmitri Alperovitch, ex director de tecnología de la firma de ciberseguridad Crowdstrike. Dijo que pedirle a Rusia que tome medidas enérgicas contra los ataques a gran escala no funcionará porque «es una llamada demasiado granular para calibrar la actividad delictiva que ni siquiera controlan por completo».

Desde las conversaciones de Biden con Putin, altos funcionarios estadounidenses han dado respuestas contradictorias sobre las tendencias del ransomware. Algunos funcionarios del FBI y del Departamento de Justicia dicen que no han encontrado cambios en el comportamiento ruso. El director cibernético nacional Chris Inglis dijo que hubo una disminución notable en los ataques, pero que era demasiado pronto para decir por qué.

Dada la falta de información básica y los informes inconsistentes de las víctimas, es difícil cuantificar el número de ataques, aunque la ausencia de incidentes disruptivos es un sello importante de una Casa Blanca que intenta centrar su atención en los principales riesgos de seguridad nacional y jueces de violaciones catastróficas. .

Las víctimas de ataques de ransomware en los últimos meses han incluido hospitales, pequeñas empresas, universidades como la Universidad de Howard, que desconectó temporalmente muchos de sus sistemas después de descubrir un ataque en septiembre, y los legisladores de Virginia.

El ataque a Lewis & Clark en Godfrey, Illinois se detectó dos días antes del Día de Acción de Gracias cuando el director de TI de la escuela descubrió una actividad sospechosa y desconectó los sistemas de forma proactiva, dijo Trzaska, el presidente.

Una nota de rescate de los piratas informáticos pedía el pago, aunque Trzaska se negó a revelar la cantidad o identificar a los culpables. Aunque muchos ataques se originan por piratas informáticos en Rusia o Europa del Este, algunos se originan en otros lugares.

Con los sistemas educativos vitales afectados, incluido el correo electrónico y la plataforma de aprendizaje en línea de la escuela, los administradores cancelaron las clases durante días después del receso del Día de Acción de Gracias y compartieron actualizaciones con los estudiantes a través de las redes sociales y un sistema de alerta pública.

La universidad, que tenía copias de seguridad en la mayoría de sus servidores, reanudó sus operaciones este mes.

La terrible experiencia fue lo suficientemente descorazonadora como para inspirar a Trzaska y a otro presidente de la universidad, de quien dice que tuvo una experiencia similar, a planificar un panel de ciberseguridad.

«El precio de las acciones de todos», dijo Trzaska, «no es si sucederá, sino cuándo sucederá».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *