ProPublica es una sala de prensa de investigación ganadora del Premio Pulitzer. Regístrese para recibir el boletín de noticias de The Big Story para recibir historias como esta en su bandeja de entrada.

ProPublica informó recientemente que dos empresas estadounidenses, que profesaban utilizar sus propios métodos de recuperación de datos para ayudar a las víctimas de ransomware a recuperar el acceso a los archivos infectados, pagaron a los piratas informáticos.

Ahora hay nuevas pruebas de que una firma del Reino Unido adopta un enfoque similar. Fabian Wosar, un investigador de seguridad cibernética, le dijo a ProPublica este mes que, en una operación encubierta que llevó a cabo en abril, Red Mosquito Data Recovery, con sede en Escocia, dijo que se estaba "haciendo pruebas" para desbloquear archivos mientras se negociaba un pago de rescate. Wosar, jefe de investigación del proveedor de antivirus Emsisoft, dijo que se hizo pasar por pirata informático y víctima para que pudiera revisar las comunicaciones de la compañía en ambos lados.

Red Mosquito Data Recovery " no hizo ningún esfuerzo por no pagar el rescate "y, en cambio, fue" directamente al autor del ransomware literalmente en minutos ", dijo Wosar. "Comportamiento de este tipo es lo que hace funcionar el ransomware". Desde 2016, más de 4,000 ataques de ransomware han ocurrido diariamente, o alrededor de 1.5 millones por año, según las estadísticas publicadas por el Departamento de Seguridad Nacional de los Estados Unidos. La aplicación de la ley no ha logrado detener la propagación del ransomware, y los culpables rara vez son capturados. Si no se realiza una copia de seguridad de los archivos cifrados por los atacantes y no se dispone de una herramienta pública gratuita de descifrado, generalmente la única forma de eliminarlos es pagando el rescate, dijo Michael Gillespie, analista de software en Illinois a quien el FBI ha otorgado un premio de liderazgo comunitario. por su ayuda en ransomware. Pero los clientes que no quieren ceder a la extorsión son susceptibles a las empresas que afirman tener sus propios métodos de descifrado de archivos. A menudo, las víctimas están dispuestas a pagar más que el monto del rescate para recuperar el acceso a sus archivos si creen que el dinero se destinará a una empresa de recuperación de datos en lugar de un pirata informático, dijo Wosar.

En su sitio web, Red Mosquito Data Recovery se llama a sí mismo un "servicio integral de recuperación de datos y consultoría" y dice que se ha ocupado de cientos de casos de ransomware en todo el mundo durante el año pasado. La semana pasada anunció que su "servicio internacional" ofrece "expertos que pueden ofrecer consejos honestos y gratuitos". Dijo que ofrece una "alternativa profesional" a pagar un rescate, pero advirtió que "pagar el rescate puede ser la única opción viable para obtener sus archivos desencriptados ".

"No recomienda negociar directamente con los delincuentes, ya que esto puede comprometer aún más la seguridad", agregó.

Red Mosquito Data Recovery no respondió a las preguntas enviadas por correo electrónico y colgó cuando llamamos al número que figura en su sitio web. Después de ser contactado por ProPublica, la compañía eliminó la declaración de su sitio web que ofrece una alternativa a los piratas informáticos de pago. También cambió el "consejo honesto y gratuito" por el "consejo simple y gratuito" y los "cientos" de casos de ransomware que ha manejado a "muchos".

Además del sitio web de Red Mosquito Data Recovery, una compañía llamada Red Mosquito tiene su propio sitio web. Una persona que contesta el teléfono en el sitio de Red Mosquito dijo que son compañías "hermanas" y que RMDR, como se sabe, se especializa en ayudar a las víctimas de ransomware. El sitio de Red Mosquito comercializa una amplia gama de servicios cibernéticos.

Las dos empresas estadounidenses, Proven Data Recovery de MonsterCloud con sede en Elmsford, Nueva York y Hollywood, Florida, prometieron usar su propia tecnología para ayudar a las víctimas de ransomware a desbloquear sus datos, pero en su lugar normalmente obtuvieron herramientas de descifrado de los ataques cibernéticos pagando rescates, ProPublica encontró.

También rastreamos los pagos de rescate de Proven Data a los piratas informáticos iraníes que supuestamente desarrollaron una cepa conocida como SamSam que paralizó las redes de computadoras en América del Norte y el Reino Unido. El gobierno de los EE. UU. Acusó a dos hombres iraníes de cargos de fraude por supuestamente organizar la extorsión y prohibió los pagos a Dos destinos de moneda digital asociados a ellos. El jefe ejecutivo de Proven Data, Victor Congionti, dijo a ProPublica en mayo que pagaba a los atacantes de SamSam bajo la dirección de los clientes, y no sabía que estaban afiliados a Irán hasta las acciones del gobierno de los Estados Unidos. Congionti dijo que la política de Proven Data sobre la divulgación de los pagos de rescate a los clientes ha "evolucionado con el tiempo" y ahora es "completamente transparente".

El director ejecutivo de MonsterCloud, Zohar Pinhasi, dijo en mayo que sus métodos de recuperación de datos son un secreto comercial y no engaña a los clientes. Un portavoz dijo el viernes que Pinhasi respalda sus declaraciones anteriores.

Para su experimento de recuperación de datos de Red Mosquito, Wosar dijo que creó un ransomware falso, al que llamó "GOTCHA". También redactó una nota de rescate cargada de errores tipográficos como "inmediatamente" para autenticidad, ya que muchos atacantes no son hablantes nativos de inglés. - con instrucciones para contactar al pirata informático, de acuerdo con una copia de la nota que le proporcionó a ProPublica. Al igual que muchas notas de rescate reales, Wosar incluyó una secuencia de identificación única, e instruyó a la víctima para que la usara en cualquier respuesta, muestra la copia. Tal secuencia ayuda a los hackers reales a saber qué víctima les está pagando. Wosar dijo que lo insertó para que pudiera confirmar que Red Mosquito Data Recovery se contactó con él en la dirección de correo electrónico del "pirata informático", incluso si la empresa no se identificó. La secuencia de identificación era una versión encriptada del propio nombre de la compañía, dijo.

El 17 de abril, haciéndose pasar por el posible cliente "Joe Mess", Wosar buscó la ayuda de RMDR, según los correos electrónicos que envió a ProPublica. Al adjuntar la nota de rescate y los archivos de muestra, escribió en un correo electrónico: “Hace dos días, alguien me pirateó el servidor de mi casa y todas mis fotos, documentos, videos y otros archivos fueron renombrados a archivos .gotcha y encriptados ... No tengo ninguna copia de seguridad, pero no quiero pagar a esos imbéciles ".

"Estoy muy seguro de que podremos recuperar sus archivos", contestó alguien ese mismo día que Conor Lairg contestó ese mismo día desde una dirección de correo electrónico de Mosquito Rojo, según muestran las copias de la correspondencia. "Ahora estamos realizando pruebas y me pondré en contacto lo antes posible con una actualización".

Dos minutos más tarde, la cuenta de correo electrónico del hacker de Wosar se iluminó con una respuesta de "tony7877@protonmail.com". La línea del asunto contenía la identificación única que había asignado a la víctima, lo que significaba que el mensaje solo podía provenir de Red Mosquito Data Recovery o alguien Que la empresa lo compartió.

"¿Cuánto cuesta descifrar?", Preguntó el encuestado.

Mientras tanto, "Joe Mess" presionó a Lairg para que confirmara que Red Mosquito no pagaría el rescate: "¿Entonces crees que puedes ayudar sin que yo tenga que pagar el rescate?"

"Todavía estamos investigando y nos pondremos en contacto con usted lo antes posible", respondió Lairg.

Menos de una hora después, Wosar, haciéndose pasar por el pirata informático, comenzó a negociar con "tony7877@protonmail.com", muestra la correspondencia.

"$ 1200 en Bitcoin", escribió. "Usted paga, proporcionamos clave y decriptor (sic) para recuperar datos".

El encuestado buscó un mejor trato. "¿Se puede hacer por 500 USD", respondió. El alter ego hacker de Wosar acordó bajar el precio. “$ 900. "Tomar o besar los datos, adiós", escribió. "No manejamos presidencia (sic) aquí".

El contacto le dijo que intentaría obtener el Bitcoin necesario.

Al día siguiente, según muestran los documentos, Lairg escribió a la dirección de correo electrónico de la víctima de Wosar diciendo que estaba "complacido de confirmar que podemos recuperar sus archivos cifrados" por $ 3,950, cuatro veces más que el rescate acordado. Lairg dijo que la empresa recuperará los archivos dentro de un estimado de tres días hábiles. El pago sería requerido antes de que comenzara la recuperación, pero el dinero se devolvería si no podían recuperar ninguno de los archivos, escribió.

Haciéndose pasar por la víctima, Wosar preguntó: "¿Cómo lo hiciste?" Lairg no respondió, sino que proporcionó detalles sobre cómo manejar el pago y describió los pasos para prepararse para la recuperación, como deshabilitar el software antivirus que podría interferir con el descifrado. Según los documentos. Wosar dijo que detuvo las comunicaciones después de eso.

Nadie llamado Conor Lairg aparece en las páginas de contacto del sitio web de Red Mosquito o en LinkedIn. Las llamadas a ambas compañías de Red Mosquito no le llegaron.

En su investigación, ProPublica descubrió que tanto MonsterCloud como Proven Data usaban alias para tratar con los clientes.

Usando el mismo truco, dijo Wosar, también se contactó con Proven Data, MonsterCloud y una compañía fuera de los EE. UU. Con la cual su experimento aún está en progreso. Los datos probados fueron "muy abiertos sobre el pago de rescates, por lo que no hay razón para hacer un seguimiento después de eso", dijo Wosar. Dijo que MonsterCloud, que actualmente sirve a empresas y agencias gubernamentales afectadas por ransomware en lugar de usuarios domésticos, no respondió.

"Wosar es muy respetado en la comunidad de seguridad cibernética, y no tenemos ningún problema con él para que pinche y presione a varias compañías de seguridad cibernética", dijo Pinhasi, el CEO de MonsterCloud, en un comunicado. “MonsterCloud no respondió a su consulta simplemente porque no atendemos a consumidores individuales, no se tomó ninguna medida. Sin embargo, es mi gran preferencia que la supervisión y la regulación se realicen a través de organismos apropiados, organizaciones de la industria y / o del gobierno que sean revisadas por pares para verificaciones y balances adecuados, y que también utilicen métodos científicos, metodologías de estudio y procesos adecuados ".

Esta es la segunda vez que Wosar se ha dirigido contra Mosquito Rojo, dijo. En 2016, dijo este año, él y otro investigador crearon una variante de ransomware y la usaron para infectar una de sus propias computadoras. Luego enviaron un correo electrónico a Red Mosquito, así como a MonsterCloud y Proven Data, haciéndose pasar por una víctima que no quería pagar un rescate, dijo.

Las firmas aceptaron con entusiasmo ayudar, alegando la capacidad de descifrar las cepas de ransomware que en realidad no eran rompibles, y no mencionaron que pagaron el rescate, dijo Wosar. Las cuentas de correo electrónico que había configurado para el atacante imaginario comenzaron a recibir correos electrónicos de direcciones anónimas que ofrecían pagar el rescate, dijo. Trazó las solicitudes a las empresas de recuperación de datos. Wosar dijo que ya no tiene la correspondencia de correo electrónico de la temporada 2016.

Congionti y Pinhasi dijeron que no podían recordar el caso en particular. Red Mosquito no respondió a una pregunta enviada por correo electrónico al respecto.

"Las víctimas de ransomware deben ser conscientes de que no hay una bala de plata cuando se trata de restaurar sus datos", dijo Wosar. "Tampoco es una vergüenza para una empresa de recuperación de datos pagar el rescate, siempre y cuando sean abiertos y transparentes al respecto".

#Sting #Hackers #MosquitoRojo #Ransomware