La Universidad de California en San Francisco (Estados Unidos) dio a conocer que pagó 116,4 BTC, equivalentes a unos $1,14 millones, por el rescate de la información sustraída por hackers a partir de un ataque de ransomware, según lo publicado en el portal web ZDNet el pasado 30 de junio.
A pesar de que no es recomendable seguirles el juego a los hackers y pagar las solicitudes de rescate, debido a que esto promueve a las organizaciones que se dedican a llevar a cabo estos crímenes, la Universidad de California (UCSF) informó que, a pesar de ser una decisión difícil, pagaron una parte del rescate exigido, ya que consideran que la información almacenada en los servidores es «importante para parte del trabajo académico que realizamos como universidad al servicio del bien público».
La negociación en la Web Oscura
La negociación encubierta entre la pandilla de NetWalker y esta universidad estadounidense tuvo lugar en la Dark Web y fue presenciada por BBC News, medio que la siguió a través de un chat en vivo.
Según el mencionado diario británico, los hackers solicitaron la suma de $3 millones, alegando que la institución educativa ganaba miles de millones de dólares al año. Ante esta solicitud, el representante de la universidad, que pudo haber sido algún experto externo contratado, le ofreció $780 mil dólares a los hackers, señalando que la pandemia de COVID-19 había sido «financieramente devastadora».
Luego de que los criminales rechazaron la oferta de la universidad, llegaron a un acuerdo de realizar un pago de $ 1.140.895, efectuado con la criptomoneda de Bitcoin (BTC). Posteriormente, los delincuentes suministraron una herramienta para desencriptar los archivos y afirmaron que eliminarían la información sustraída: «116,4 bitcoins fueron transferidos a las billeteras electrónicas de Netwalker y el software de descifrado enviado a UCSF», señaló BBC News.
Al respecto, un analista de amenazas de la compañía de seguridad cibernética Emsisoft, Brett Callow, manifestó que «las organizaciones en esta situación no tienen una buena opción», además de resaltar que «incluso si pagan la demanda, simplemente recibirán una promesa rosada de que se eliminarán los datos robados». Callow resaltó: «Pero, ¿por qué una empresa criminal despiadada eliminaría datos que podrían monetizar aún más en una fecha posterior?», sentenció el experto en ciberseguridad.
El ataque
De acuerdo con ZDNet, el ataque de ransomware a las redes informáticas de la UCSF fue perpetrado el pasado 1° de junio, aparentemente por la banda de ciberatacantes que opera el ransomware NetWalker, quienes infiltraron un malware que fue detectado en los sistemas de TI de la Facultad de Medicina de UCSF.
Desde dicha escuela afirmaron que los servidores utilizados en esta institución estaban encriptados, sin embargo, este ataque no perjudicó las operaciones de entrega al paciente, la red general del campus o el trabajo relacionado al COVID-19.
De acuerdo a la publicación, representantes de la universidad comunicaron que «los atacantes obtuvieron algunos datos como prueba de su acción, para usar en su demanda de un pago de rescate». De igual forma, representantes de la universidad dijeron que continúan con la investigación, pero que actualmente no creen que los datos referentes a los registros médicos de los pacientes hallan sido expuestos.
Según la fuente, la universidad cuenta con la ayuda de consultores de ciberseguridad para llevar a cabo una investigación del ataque y al mismo tiempo está trabajando con el FBI. De acuerdo a los investigadores, NetWalker se encarga de atacar a grandes empresas y organizaciones.
«Continuamos cooperando con la policía, y apreciamos que todos comprendan que estamos limitados en lo que podemos compartir mientras continuamos con nuestra investigación», comunicó la universidad.
Además del ataque a la Universidad de California en San Francisco, los ciberatacantes de NetWalker también son señalados como los autores de los ataques recientes a los sistemas de TI de otras dos universidades estadounidenses. Las otras dos víctimas del grupo criminal han sido la Universidad del Estado de Michigan (Michigan State University) y la Columbia College of Chicago.
Al respecto, los ciberatacantes amenazaron con publicar información como: números de seguridad social, direcciones, expedientes académicos y datos bancarios en la Dark Web. Se presume que los ciberatacantes solicitaron los rescates en criptomonedas, específicamente en bitcoin, aunque las autoridades universitarias de las otras dos instituciones no han dado detalles del monto exigido.
Por su parte, la Universidad del Estado de Michigan anunció a principios de junio que no realizará el pago de rescate exigido por el grupo de ciberdelincuentes, que amenaza con publicar los registros personales de los estudiantes y los documentos financieros de la institución si la universidad no paga el monto demandado, cuya cifra y plazo de pago se desconocen.
Funcionarios de la Universidad del Estado de Michigan creen que el ataque ocurrió el pasado 31 de mayo, Día de los Caídos, y que durante este sepuso en peligro datos asociados con el Departamento de Física y Astronomía de la universidad.
Imagen destacada por Marinefreex/ pixabay.com