Esta semana, el Washington Post informó que el FBI tenía las claves de descifrado para las víctimas del ataque generalizado de ransomware Kaseya que tuvo lugar en julio, pero que no las compartió durante tres semanas.

Cientos de organizaciones se vieron afectadas por el ataque de Kaseya, incluidas decenas de hospitales, escuelas, empresas e incluso una cadena de supermercados en Suecia. REvil exigió un rescate de $ 70 millones de Kaseya y miles de víctimas individuales antes de apagarse y cerrar partes significativas de su infraestructura poco después del ataque. Desde entonces, el grupo ha regresado, pero muchas organizaciones aún se están recuperando del amplio ataque del 4 de julio.

Los reporteros del Washington Post Ellen Nakashima y Rachel Lerman escribieron esta semana que el FBI logró obtener las claves de descifrado porque accedieron a los servidores de REvil, la banda criminal con sede en Rusia que estuvo detrás del ataque masivo.

A pesar de la gran cantidad de víctimas del ataque, el FBI no compartió las claves de descifrado y decidió conservarlas mientras se preparaban para lanzar un ataque a la infraestructura de REvil. Según The Washington Post, el FBI no quería avisar a los operadores de REvil entregando las claves de descifrado.

El FBI también afirmó que «el daño no fue tan severo como se temía inicialmente». El ataque del FBI a REvil nunca sucedió debido a la desaparición de REvil, dijeron funcionarios al periódico. El FBI finalmente compartió las claves de descifrado con Kaseya el 21 de julio, semanas después de que ocurriera el ataque. Varias víctimas hablaron con The Washington Post sobre los millones que se perdieron y el daño significativo causado por los ataques.

Otra fuente policial finalmente compartió las claves de descifrado con Bitdefender, que lanzó un descifrador universal a principios de este mes para todas las víctimas infectadas antes del 13 de julio de 2021. Más de 265 víctimas de REvil han utilizado el descifrador, dijo un representante de Bitdefender a The Washington Post.

Durante su testimonio ante el Congreso el martes, el director del FBI, Christopher Wray, culpó del retraso a otras agencias de aplicación de la ley y aliados que, según dijeron, les pidieron que no divulgaran las claves. Dijo que estaba limitado en lo que podía compartir sobre la situación porque todavía están investigando lo sucedido.

«Tomamos las decisiones como grupo, no unilateralmente. Son decisiones complejas…, diseñadas para crear el máximo impacto, y eso lleva tiempo para ir contra adversarios donde tenemos que reunir recursos no solo en todo el país sino en todo el mundo… Se requiere mucha ingeniería para desarrollar una herramienta», dijo Wray al Congreso.

La revelación provocó un debate considerable entre los expertos en seguridad, muchos de los cuales defendieron la decisión del FBI de dejar a las víctimas luchando por recuperarse del ataque durante semanas.

El CISO de Critical Insight, Mike Hamilton, quien se enfrentó a una situación particularmente espinosa en la que una víctima de Kaseya quedó en la estacada después de pagar un rescate justo antes de que REvil desapareciera, dijo que tener cuidado con la divulgación de métodos es un elemento básico de las comunidades de inteligencia y aplicación de la ley.

Sin embargo, hay un ‘indicio’ de que nos hemos confirmado. Se cita al FBI diciendo que el daño no fue tan grave como pensaban y eso les dio algo de tiempo para trabajar. Esto se debe a que el evento no fue una infiltración sigilosa típica, seguida de un pivote a través de la red para encontrar los recursos clave y las copias de seguridad. Según todos los indicios, los únicos servidores que fueron cifrados por el ransomware fueron los que tenían el agente de Kaseya instalado; este fue un ataque de smash-and-grab.
Sean Nikkel, analista sénior de inteligencia de amenazas en Digital Shadows, dijo que el FBI puede haber visto la necesidad de prevenir o cerrar las operaciones de REvil como algo que supera la necesidad de salvar a un grupo más pequeño de empresas que luchan en un solo ataque.

Debido a la creciente escala de ataques y demandas de extorsión de REvil, una situación de rápido desarrollo que requiere una respuesta igualmente rápida probablemente se adelantó a una respuesta más mesurada a las víctimas de Kaseya, explicó Nikkel, y agregó que es fácil juzgar la decisión ahora que tenemos más información, pero que debe haber sido una decisión difícil en ese momento.

«Puede haber sido un paso prudente llegar directamente a las víctimas en silencio, pero los atacantes que ven a las víctimas descifrando archivos o abandonando las negociaciones en masa pueden haber revelado la estratagema del FBI para tomar contramedidas», dijo Nikkel a ZDNet.

Es posible que los atacantes hayan derribado la infraestructura o cambiado de táctica. También existe el problema de que el sonido anónimo sobre el descifrado se abre paso en los medios públicos, lo que también podría alertar a los atacantes. Los grupos criminales prestan atención a las noticias de seguridad tanto como lo hacen los investigadores, a menudo con su propia presencia en las redes sociales.

Nikkel sugirió que un mejor enfoque podría haber sido abrir las comunicaciones de canal secundario con las empresas de respuesta a incidentes involucradas para coordinar mejor los recursos y la respuesta, pero señaló que es posible que el FBI ya lo haya hecho.

El CTO de BreachQuest, Jake Williams, calificó la situación como un caso clásico de una evaluación de ganancia / pérdida de inteligencia. Es fácil para la gente jugar al «mariscal de campo del lunes por la mañana» y culpar al FBI por no entregar las llaves después del hecho.

Pero Williams notó que el daño financiero directo fue casi con certeza más generalizado de lo que creía el FBI, ya que retuvo la clave para proteger su operación. «Por otro lado, liberar la clave resuelve una necesidad inmediata sin abordar el problema más amplio de interrumpir las futuras operaciones de ransomware. En resumen, creo que el FBI tomó la decisión equivocada al retener la clave», dijo Williams.

John Bambenek, principal cazador de amenazas de Netenrich, dijo que los críticos deben recordar que, ante todo, el FBI es una agencia de aplicación de la ley que siempre actuará de una manera que optimice los resultados de la aplicación de la ley.

«Si bien puede ser frustrante para las empresas que podrían haber recibido ayuda antes, la aplicación de la ley lleva tiempo y, a veces, las cosas no funcionan según lo planeado», dijo Bambenek. «El beneficio a largo plazo de las operaciones policiales exitosas es más importante que las víctimas individuales de ransomware».

Fuente y redacción: segu-info.com.ar

Compartir