En mayo del 2021, Irlanda también fue atacada por el virus Conti, que tiene al Ministerio de Hacienda costarricense en vilo desde el pasado domingo 17 de abril. El país europeo vivió prácticamente lo mismo que Costa Rica, con un ataque del ‘ransomware’ Conti contra el sistema nacional de Salud irlandés; y con una millonaria extorsión por la devolución de los sistemas vulnerados y los datos robados (encriptados).
Tras analizar el caso Irlanda, en Costa Rica podemos cruzar los dedos para que el desenlace sea similar al de esa nación: tan solo siete días tras detectado el ataque cibernético, y con una rotunda negación oficial de pagar a criminales por la recuperación de los datos, la llave para enmendar el daño fue publicada en el mismo sitio web de la ‘Internet Oscura’ donde el grupo de ‘hackers’ envía sus mensajes al Gobierno de Costa Rica y al Ministerio de Hacienda: una dirección de la ‘Dark Web’ que termina en ‘.onion’. Hasta la fecha, en Irlanda no saben por qué el grupo atacante les ayudó a regresar a la normalidad.
A continuación explicamos qué sucedió en Irlanda y cómo se resolvió la situación; y también nos adentramos en quiénes están detrás de Conti y qué aprendimos en febrero pasado, cuando una fuga de información de mensajes entre estos ‘hackers’, quienes presuntamente son de Rusia, reveló que funcionan como una empresa, con salarios, objetivos, bonos y multas.
El caso Irlanda
Irlanda fue atacada por el ‘ransomware’ (virus maligno de extorsión) Conti en mayo de 2021. Desde el primer día en que el ataque se hizo público, hasta avanzada la situación, los ‘hackers’ enviaron mensajes a través de un dominio de la ‘Dark Web’ que finaliza en .onion, tal y como han hecho con el caso Costa Rica.
A finales de ese año, en diciembre, la consultora PwC (PricewaterhouseCoopers) publicó un estudio independiente a petición de las autoridades de Salud, principal víctima del ataque.
En Irlanda, país insular británico que forma parte de la Unión Europea y tiene una población de cinco millones de personas, el sistema de salud pública es dirigido por el HSE (Health Service Executive). El HSE opera desde el 2005 y tiene a más de 67.000 empleados.
Según los hallazgos de PwC, esta fue la cronología del ataque de Conti:
18 de marzo de 2021: Infección inicial de la estación de trabajo ‘Paciente Cero’ (una estación en un servidor de HSE; pero nadie se da cuenta). Según la investigación de PwC, todo comenzó con la apertura de un archivo malicioso de Microsoft Excel que fue adjunto en un correo electrónico y fue enviado el 16 de marzo. Los ‘hackers’ operaron por ocho semanas sin que nadie se diera cuenta.
7 de mayo de 2021: Conti compromete los servidores de HSE por primera vez.
Del 8 de mayo al 12 de mayo de 2021: Conti compromete los servidores de siete hospitales irlandeses.
10 de mayo de 2021: Uno de los hospitales, denominado Hospital C, identifica un virus malicioso.
12 de mayo de 2021: Uno de los hospitales, denominado Hospital A, comunica actividad maliciosa de sistemas de HSE.
Del 12 de mayo al 13 de mayo de 2021: Conti navega y abre carpetas y filas de sistemas de HSE
13 de mayo de 2021: El sistema de seguridad de antivirus de HSE notifica a HSE de amenazas no tratadas. Además: el Hospital A logra prevenir más ataques en sus sistemas.
14 de mayo de 2021 – Día del ataque:
–Conti ejecuta el ataque de ‘ransomware’ (virus maligno de extorsión) contra la HSE.
–HSE recibe reportes de diferentes hospitales vulnerados, con sus sistemas encriptados.
–HSE apaga todos los sistemas y accesos a su red. Todos los irlandeses afiliados son afectados.
–Terceras partes, incluidas algunas agencias del Gobierno de Irlanda, se integran a la situación para tratar de buscar soluciones.
El ataque causa que profesionales de la Salud pierdan accesos a los sistemas de la HSE, incluyendo los sistemas de información de pacientes y sistemas de laboratorios. Los sistemas no clínicos, como los financieros y de paga al personal, también se pierden. Ante la imposibilidad de trabajar como de costumbre, miles de profesionales regresan al papel y lápiz para no dejar de proveer atención. Hubo una disrupción severa de los servicios de Salud a lo largo del país.
Se pierden accesos a correos electrónicos y números telefónicos de HSE. Los empleados usaron teléfonos análogos para comunicarse y/o números privados.
Los ‘hackers’ crearon notas de cómo contactarlos para un eventual pago de $20 millones. En la ‘Dark Web’, los ‘hackers’ proveyeron links hacia datos de HSE para su descarga y uso ilegal, como parte de la extorsión. Se le dio un día límite al Gobierno para pagar el secuestro de datos, pero desde este día Irlanda rechazó cooperar con criminales y buscó ayuda en agencias internacionales como Interpol y en sus servicios nacionales de Defensa.
15 de mayo de 2021: La víctima, HSE, alista un “cuarto de guerra” y trabaja de cerca con carteras de Defensa de Irlanda.
20 de mayo de 2021: La HSE obtiene una orden de restricción para compartir sus datos.
21 de mayo de 2021: Un link hacia la clave de desencriptación para restaurar la información encriptada es proveído en la ‘Dark Web’ por el mismo grupo de ‘hackers’. Es un giro que toma por sorpresa a Irlanda, quien divulgó que no harían pago alguno a criminales cibernéticos.
24 de mayo de 2021: Comienza un proceso para restablecer de forma segura los sistemas de la HSE. – En gran medida, el ataque ha terminado, pues la llave para desencriptar ayuda a recuperar la información, aunque de forma lenta.
14 de junio de 2021: el 47% de los servidores se han desencriptado, con un 51% de aplicaciones restauradas.
21 de septiembre de 2021: El 100% de servidores se han desencriptado, con un 99% de aplicaciones restauradas.
En sus conclusiones, PwC hace énfasis en que hay una víctima; HSE, y un victimario; los ‘hackers’ que usan Conti, que actuó desde una posición de ventaja y con toda la intención y la técnica para hacer daño.
Sin embargo, a pesar de esta situación clara de ciberdelito, los hallazgos estimaron que los niveles de seguridad en los sistemas digitales de la HSE eran deficientes y estaban descuidados. Se recomendó invertir mucho más dinero en ello, pues tras la recuperación de la normalidad, la HSE de Irlanda seguía vulnerable para nuevos ataques.
El grupo detrás de Conti: se trataría de rusos pro Putin
Los ‘hackers’ que operan el ‘ransomware’ Conti serían un grupo de Rusia que apoya al gobierno de ese país, cuyo mandatario es Vladimir Putin.
La compañía de ciberseguridad Trellix, dueña de, entre otros productos, el antivirus mundialmente utilizado McAfee, publicó el pasado 31 de marzo un exhaustivo informe que arroja luces sobre el grupo de ‘hackers’ que operan Conti.
Usando la misma página de la ‘Dark Web’ a través de la cual los ‘hackers’ comunican sobre el ataque contra Costa Rica, a finales de febrero pasado, el grupo publicó el siguiente mensaje:
“El Equipo Conti anuncia oficialmente su apoyo total al gobierno de Rusia. Si quien sea decida organizar un ciberataque o cualquier actividad de guerra contra Rusia, nosotros usaremos todos nuestros recursos disponibles para contraatacar las infraestructuras más importantes del enemigo”.
A raíz de este anuncio, apareció una cuenta en Twitter llamada @contileaks, que publicó mensajería de varios años en los conversatorios privados de Internet de Conti. En el mundo de la ciberseguridad, a esta fuga de información se la llama los “Papeles de Panamá del Ransomware”.
Todos los intercambios revelados estaban en ruso, con alfabeto cirílico, pero Trellix recreó imágenes idénticas con traducción al inglés.
Este es un resumen de Trellix:
“Es fascinante lo mucho que Conti se parece a una empresa ordinaria con un edificio de oficinas, recursos humanos y otros departamentos (probadores, reversores, inteligencia de fuentes abiertas, codificadores, equipo de capacitación, etc.) con sus salarios regulares los días 15 y 30 de cada mes. El horario de trabajo es de 10:00 a 18:00, hora de Moscú, cinco días a la semana. Stern es el jefe que supervisa todo y tiene 100 personas en la nómina”.
Entre los más de 6.000 chats revelados por @contileaks, quien después dijo en un tuit ser una cuenta ucraniana y apoyar a Ucrania durante la actual invasión militar que sufre en manos de Rusia, estaba esta frase de uno de los supuestos jefes reclutadores:
“Los fines de semana son los fines de semana. Y nadie canceló las vacaciones y los días de enfermedad. Todas las demás vacaciones, con el acuerdo de la gerencia”.
Según Trellix, el grupo existe desde hace más de 10 años. Solo en 2021, el grupo logró recaudar $180 millones solo a través de extorsiones alrededor del mundo, atacando al sector público y privado de diversos países. Este dinero se les paga en bitcoins.
Entre las víctimas más comunes de Conti están oenegés, instituciones médicas y grandes tiendas al detalle.
César Bravo, costarricense máster en Ciberseguridad, inventor y profesor en Lead University, comentó información similar a la que expuso Trellix: que este grupo de atacantes proviene de Rusia, y es el grupo más exitoso en cuanto a dinero recaudado vía extorsiones.
“El grupo Conti es la estructura de hackers más grande que hay en este momento en términos de ganancias económicas. Ellos han estado golpeando muy duro. El grupo se encuentra en Rusia. Ahorita ellos con esto de la guerra en Rusia dijeron abiertamente que iban a estar apoyando al gobierno ruso. Y que cualquier empresa que atacara al Gobierno, ellos iban a atacar de vuelta”.
Bravo detalla cómo funciona el tipo de ataques que realiza Conti:
“Ellos lo que hacían antes era solo encriptar los datos. Ahora el nuevo sistema de ataque es que ellos encriptan los datos y se dejan una copia. Eso es para que la extorsión sea mayor. Antes, si la empresa tenía respaldos, podía decir que recuperaba los respaldos y no pagaba la extorsión. Pero para hacer un poco más; poner más presión, ellos lo que hacen es que no solo te piden el dinero a cambio de los datos, sino que también te piden dinero a cambio de no publicar los datos. Esto pone más presión a las víctimas. Por lo general ellos ponen una fecha, y dicen: si no me pagas cierta cantidad de bitcóines a esta fecha, voy a publicar los datos. Y son datos sensibles”.
Estas son algunas conclusiones de Trellix, propietaria del antivirus McAfee, sobre el grupo que opera Conti:
“Los ciberdelincuentes con motivaciones financieras tienen un historial de colaboración transfronteriza y, a menudo, se mantienen alejados de la política. Sin embargo, el actual conflicto entre Rusia y Ucrania no es algo que se deba ignorar, ni siquiera para los ciberdelincuentes, ya que se ven obligados a elegir bando”.
“Los ContiLeaks y TrickBotLeaks fueron un resultado directo de este conflicto. Las filtraciones son de un nivel sin precedentes y muestran al mundo cómo opera una banda de ‘ransomware’ multimillonaria respaldada por el gobierno. De alguna manera era casi como un negocio normal; había que pagar salarios, obtener licencias de software, iniciar servicios de atención al cliente y formar alianzas estratégicas. Sin embargo, no se equivoquen, este negocio se ocupa de delitos cibernéticos de alto nivel, con una alianza estratégica con un aparato de inteligencia responsable de varios ataques a naciones y entidades privadas”.
“En nuestra línea de trabajo, a menudo somos conscientes de los mecanismos internos técnicos, las asociaciones entre las familias de ‘malware’ y las relaciones sospechosas de los estados nacionales, pero leer las conversaciones internas y confirmar nuestras sospechas fue muy revelador”.