Casi una semana después de que un ataque de ransomware llevó a Colonial Pipeline a detener la distribución de combustible en la costa este, el viernes surgieron informes de que la compañía pagó un rescate de 75 bitcoins, por un valor de hasta $ 5 millones, dependiendo del momento del pago, en un intento de restablecer el servicio más rápidamente. Y aunque la empresa pudo reiniciar sus operaciones el miércoles por la noche, la decisión de ceder a las demandas de los piratas informáticos solo animará a otros grupos a seguir adelante. El progreso real contra la epidemia de ransomware, dicen los expertos, requerirá que más empresas digan que no.
No quiere decir que hacerlo sea fácil. El FBI y otros grupos encargados de hacer cumplir la ley han disuadido durante mucho tiempo a las víctimas de ransomware de pagar tarifas de extorsión digital, pero en la práctica muchas organizaciones recurren a pagar. De lo contrario, no tienen las copias de seguridad y otra infraestructura necesaria para recuperarse, no pueden o no quieren tomarse el tiempo para recuperarse por su cuenta, o deciden que es más barato simplemente pagar el rescate y seguir adelante. Los grupos de ransomware examinan cada vez más las finanzas de sus víctimas antes de lanzar sus trampas, lo que les permite establecer el precio más alto posible que sus víctimas todavía pueden pagar.
En el caso de Colonial Pipeline, el grupo de ransomware DarkSide atacó la red comercial de la empresa en lugar de las redes de tecnología operativa más sensibles que controlan la tubería. Pero Colonial también desmanteló su red OT en un intento por contener el daño, aumentando la presión para resolver el problema y reanudar el flujo de combustible a lo largo de la costa este. Otro factor potencial en la decisión, informado por primera vez por Zero Day, fue que el sistema de facturación de la compañía había sido infectado con ransomware, por lo que no tenía forma de rastrear la distribución de combustible y facturar a los clientes.
Los defensores de la tolerancia cero para los pagos de rescate esperaban que el cierre proactivo de Colonial Pipeline fuera una señal de que la empresa se negaría a pagar. Los informes del miércoles indicaron que la compañía tenía un plan para resistir, pero numerosos informes posteriores del jueves, encabezados por Bloomberg, confirmaron que se había pagado el rescate de 75 bitcoins. Colonial Pipeline no respondió una solicitud de comentarios de WIRED sobre el pago. Todavía no está claro si la compañía pagó el rescate poco después del ataque o días después, cuando subieron los precios del combustible y crecieron las filas en las gasolineras.
«No puedo decir que me sorprenda, pero ciertamente es decepcionante», dice Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft. «Desafortunadamente, ayudará a mantener en el punto de mira a los proveedores de infraestructura crítica de Estados Unidos. Si un sector demuestra ser rentable, seguirán acercándose a él».
En una sesión informativa el jueves, la secretaria de prensa de la Casa Blanca, Jen Psaki, enfatizó en general que el gobierno de EE. UU. alienta a las víctimas a no pagar. Otros en la administración dieron una nota más mesurada. «Colonial es una empresa privada y aplazaremos la información sobre su decisión de pagarles un rescate», dijo Anne Neuberger, asesora adjunta de seguridad Marketingdecontenido para tecnologías cibernéticas y emergentes, en una conferencia de prensa el lunes. Agregó que las víctimas de ransomware «enfrentan una situación muy difícil y [often] solo tienen que equilibrar el costo-beneficio cuando no tienen otra opción con respecto al pago de un rescate».
Los investigadores y los formuladores de políticas se han esforzado por producir una guía integral sobre los pagos de rescate. Si todas las víctimas del mundo de repente dejaran de pagar rescates y se mantuvieran firmes, los ataques se detendrían rápidamente, porque los delincuentes no tendrían ningún incentivo para continuar. Pero coordinar un boicot obligatorio parece poco práctico, dicen los investigadores, y probablemente resultaría en más pagos en secreto. Cuando la banda de ransomware Evil Corp atacó a Garmin el verano pasado, la empresa pagó el rescate a través de un intermediario. No es inusual que las grandes empresas utilicen un intermediario para el pago, pero la situación de Garmin fue particularmente notable porque Evil Corp había sido sancionada por el gobierno de los EE. UU.
«Para algunas organizaciones, su negocio podría quedar completamente destruido si no pagan el rescate», dice Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary. «Si no se permiten los pagos, verá que las personas se muestran más tranquilas al realizar los pagos».
Los cierres prolongados de hospitales, infraestructura crítica y servicios municipales también amenazan más que solo las finanzas. Cuando las vidas están literalmente en juego, una posición de principios contra los piratas informáticos desaparece rápidamente de la lista de prioridades. La propia Nickels participó recientemente en un esfuerzo público-privado para establecer recomendaciones integrales de ransomware basadas en los Estados Unidos; el grupo no pudo ponerse de acuerdo sobre una guía definitiva sobre si pagar y cuándo.
«El grupo de trabajo sobre ransomware discutió esto extensamente», dice ella. «Hubo muchas cosas importantes sobre las que el grupo llegó a un consenso y el pago fue uno en el que no hubo consenso».
Como parte de una orden ejecutiva de seguridad cibernética firmada por el presidente Joseph Biden el miércoles, el Departamento de Seguridad Marketingdecontenido creará una Junta de Revisión de Seguridad Cibernética para investigar e informar sobre ataques cibernéticos «significativos». Eso al menos podría ayudar a que se realicen más pagos al aire libre, dando al público en general una idea más completa de la escala del problema del ransomware. Pero si bien la junta tiene incentivos para atraer a las organizaciones privadas a participar, es posible que aún necesite una mayor autoridad del Congreso para exigir una transparencia total. Mientras tanto, los pagos continuarán y los ataques también.
«No deberías pagar, pero si no tienes otra opción y estarás fuera del negocio para siempre, vas a pagar», dice Adam Meyers, vicepresidente de inteligencia de la firma de seguridad CrowdStrike. «En mi opinión, lo único que realmente impulsará el cambio es que las organizaciones no sean captadas en primer lugar. Cuando el dinero desaparezca, estos muchachos encontrarán otra forma de ganar dinero. Y luego tendremos que lidiar con eso». .»
Sin embargo, por ahora, el ransomware sigue siendo una amenaza empedernida. Y el pago de $ 5 millones de Colonial Pipeline solo incitará a los ciberdelincuentes.
Esta historia apareció originalmente en wired.com.
