web analytics

Una mala experiencia negociando un caso de ransomware

16 Jul Una mala experiencia negociando un caso de ransomware

Posted at 08:27h in blog by [social_share]

Hace tiempo que debía este post. Ya había dicho en Twitter que cuando tuviera tiempo y sobre todo ganas, lo escribiría. Llevo desde 2014 aproximadamente gestionando Ransomwares de empresas y organizaciones que han sido afectadas. No lo tengo calculado de forma exacta, pero han sido más de 100. En algunos casos simplemente se trata de interactuar con el ciberdelincuente para saber cuánto pide (si es que no se sabe ya), y si el cliente está muy afectado, es decir que no tiene forma de recuperarse sin sus datos porque los sistemas de backup también han sido cifrados, negociar con el malo a ver si llegamos a un acuerdo económico, satisfactorio para mi cliente. Me hierve la sangre cuando hago esto. Afortunadamente, hay situaciones en las que han tenido Reborn y el cliente ha tenido un punto de recuperación del que extraer sus datos en menos de 5 minutos. En otros, los menos, hemos logrado encontrar herramientas, generalmente privadas, que han permitido recuperar la información.

En estos últimos casos y en los que tras negociar y pagar, se recuperan los datos, la gente se confía. Se creen que siempre será así y dicen: “Bueno, si me vuelve a pasar, llamo a Lorenzo de nuevo y que se busque la vida y me lo solucione con una herramienta privada o pagando al malo”. Esto, cierto es, me había funcionado siempre… hasta ahora.

Hará cosa de tres semanas, me llegó un nuevo caso, distinto en su modus operandi en que a una PYME le había entrado en el único servidor que tenían y le habían – ojo – ELIMINADO los ficheros utilizando borrado seguro. El informático que les lleva todo probó ciertas herramientas de recuperación de elementos borrados sobre una imagen y todo el contenido era ilegible igualmente. El ciberdelicuente dejó un par de correos electrónicos de contacto (uno de ellos, de Outlook.com, algo que tampoco es muy habitual). El cliente le preguntó y pedía relativamente poco dinero (para las aberraciones en algunos casos que he llegado a ver), asegurando que tras el pago le proveería de unas credenciales de dropbox para poder descargar toda la información en la misma estructura que tenía la empresa. Me contrataron para la gestión del caso (no para el análisis forense aunque tangencialmente identifiqué el punto de entrada) y, como en tantos otros, negocié una mínima rebaja, puesto que tampoco había gran margen. El ciberdelincuente siempre respondía de forma ágil y educada y decía que quería devolver la información.

Al igual que hago siempre, antes de hacer ningún pago le advierto al cliente del riesgo que supone y que, aunque hasta ahora se han portado y me han enviado un decrypter, esto no tenía por qué pasar siempre. Al fin y al cabo, uno está negociando con uno o varios delincuentes. El cliente asumió el riesgo y pagamos. A los 15 minutos, el dinero había llegado a la cartera de bitcoins indicada y poco después el dinero se había movido a otra cartera. Esto también es habitual. Lo que no es normal es que el delincuente nunca más contestase en ninguno de los dos correos que dejaron. Hemos escrito varios correos y en ningún caso hemos obtenido respuesta.

Nunca me ha gustado pagar un ransomware. Sé que cuando se hace se está alimentando una industria de delincuentes. Siempre pregunto a mis clientes si es la única solución que tienen y qué sucede si no recuperan. Cuando no hay más remedio porque me dicen que o recuperan o cierran, la presión es aún mayor.

Esta ha sido mi experiencia y la comparto ahora. Sinceramente no he tenido ánimo de hacerlo antes. Para mí no es solo un trabajo que si sale bien, pues bien y si no, mala suerte. Empatizo con el cliente, generalmente alguien con voz compungida y temblorosa que esconde horas de ansiedad y/o, en algunos casos, días sin dormir. Celebro la victoria y en este caso comparto la derrota. No son mis datos, no es mi dinero, pero para el caso, lo siento como si lo fuera y me jode.

Los dos buzones de correo electrónico de contacto de este caso, en los que me dejaron de contestar tras pagar y no han devuelto ningún dato, son estos: recovery.data.center@outlook.com y information@cyberfear.com. Si os toca alguno de estos dos, tened en cuenta lo que me ha pasado a mí en este caso; y si queréis evitar este tipo de situaciones, de verdad, confiad una copia de vuestros datos a una solución de copias de seguridad a prueba de ransomware, como Reborn, que la hacemos en Securízame y al menos os garantiza un punto de partida inmediato en la recuperación, sin depender de que un ciberdelincuente cumpla lo acordado.

 

Lorenzo Martínez Rodríguez

CTO Securízame