El ataque de ransomware Kaseya de julio fue particularmente devastador para las pequeñas empresas en los Estados Unidos, con un estimado de 800 a 1,500 empresas afectadas. El incidente llegó a un final sorprendente cuando se lanzó una clave de descifrado universal , pero se descubrió que el FBI guardó la clave en silencio durante tres semanas antes de ponerla a disposición del público en un intento por "interrumpir" el ataque.
Esta información ha planteado algunas preguntas serias, particularmente porque los perpetradores desaparecieron de Internet algún tiempo antes de la liberación de la clave de descifrado. El Congreso ahora ha abordado el tema, primero interrogando al director del FBI Chris Wray en una audiencia y ahora solicitando que la agencia proporcione un informe escrito que explique sus acciones.
Un comité bipartidista está tratando de averiguar exactamente qué razonamiento utilizó el FBI para mantener la clave en secreto durante casi un mes, tiempo en el que las víctimas de ransomware podrían haber podido usarla en lugar de pagar un rescate o perder datos.
A principios de julio, el ataque al proveedor de servicios gestionados Kaseya se extendió en cascada para afectar a unos mil de sus clientes. El actor de amenazas REvil, ya conocido por sus ataques de ransomware contra los usuarios de Microsoft Exchange Server y el gigante empacador de carne JBS , asumió la responsabilidad de la violación y ofreció a Kaseya la opción de comprar una clave maestra de descifrado por 70 millones de dólares.
Después de unas dos semanas, REvil retiró repentinamente de Internet toda su infraestructura de cara al público. A fines de julio, más de una semana después de que esto sucediera, Kaseya anunció que había recibido la clave de descifrado de una "fuente confiable" que no nombraría.
Como era de esperar, esa fuente resultó ser el FBI. Lo sorprendente es que las agencias del gobierno de EE. UU. Aparentemente tuvieron algún tipo de penetración previa en las operaciones de REvil y, de hecho, habían adquirido la clave de descifrado poco después de que ocurriera el ataque de Kaseya.
A fines de septiembre, el Washington Post publicó una historia que revelaba que el FBI se había aferrado a la clave con el conocimiento y el acuerdo de otras agencias. El Post citó como fuentes a varios funcionarios estadounidenses anónimos. El FBI y otras agencias aparentemente sintieron que distribuir la clave alertaría a REvil de que sus servidores habían sido penetrados, mientras trabajaban detrás de escena para identificar a los jugadores y sacarlos del negocio para siempre.
Resulta que el secreto no tenía sentido; Revil repentinamente dejó de funcionar por su cuenta a mediados de julio, posiblemente después de darse cuenta de que los grupos de gobierno estaban en sus servidores. Sin embargo, el FBI retuvo la llave durante unos 10 días después de que el "Blog feliz" del grupo y otra infraestructura utilizada para recibir pagos de rescate desaparecieron de la web oscura.
Esto desató una tormenta de críticas tanto de las víctimas como de los miembros del Congreso. El director del FBI, Wray, admitió la demora, defendiéndola diciendo que las agencias involucradas tenían que tomar la decisión como grupo y que la evaluación fue que la violación no había sido "tan grave" como se evaluó inicialmente.
El director también invocó la prueba de la clave de descifrado como una razón para la demora, diciendo que tales herramientas recibidas de los actores criminales a menudo son lentas y carecen de función. Sin embargo, al recibir la clave de descifrado, la empresa de seguridad Emsisoft pudo crear una herramienta de descifrado funcional para uso de la víctima en unos 10 minutos. La firma dijo que pudo moverse rápidamente debido a su experiencia previa con el ransomware de REvil, pero si hubiera sido un tipo de ransomware completamente nuevo, la herramienta podría haberse desarrollado en unas pocas horas.
Algunos de los clientes de Kaseya que estaban infectados se habían quedado en la estacada cuando REvil desapareció, incapaces de realizar pagos al grupo para que sus archivos fueran descifrados (y en algunos casos, para evitar que se divulgaran públicamente en Happy Blog). Dana Liedholm, portavoz de Kaseya, dijo que la firma tenía 54 clientes que aún buscaban desencriptar archivos cuando se recibió la clave de desencriptación y dijo que podía ayudar a “algunos” de los que no tenían la capacidad de restaurar sus sistemas a partir de copias de seguridad.
Oliver Tavakoli, director de tecnología de Vectra, cree que no se debe asumir automáticamente que el FBI y otras agencias tienen la culpa aquí dada la falta de información que alguien tiene sobre sus operaciones. Se hace eco de algunos de los puntos que hizo la agencia acerca de sopesar los costos de ceder los activos operativos en términos del recuento general de víctimas: “Las decisiones de las fuerzas del orden son fáciles de criticar en retrospectiva. Si bien el FBI tenía las claves de descifrado, el plan para derribar la infraestructura de REvil en un esfuerzo por evitar futuros ataques tuvo que sopesarse con el deseo de ayudar a las víctimas de los ataques de Kaseya. Es fácil adivinar esa decisión, ya que REvil pareció desmantelar elementos de la infraestructura y, por lo tanto, el plan de aplicación de la ley para derribarla se frustró. Sin embargo, la retrospectiva siempre es 20/20 ”.
Dondequiera que esté la culpa, las operaciones del FBI no pusieron un fin permanente a REvil. El grupo volvió a la acción a mediados de septiembre, comprometiendo a nuevas víctimas y publicando los documentos de los que se negaron a pagar en su revivido Happy Blog.
Fuente: https://www.cpomagazine.com/cyber-security/fbi-withheld-kaseya-ransomware-decryption-key-for-three-weeks-congress-demands-the-agency-explain-itself/
No hay comentarios.:
Publicar un comentario