08/12/2024

EEUU: El Servicio Secreto intentó atrapar a un pirata informático

ciberrespuesta a ataques en la web

Un oficial del Departamento de Policía de Seattle intentó desenmascarar a un atacante de ransomware desplegando su propio truco, de acuerdo con los registros judiciales recientemente revelados.

Aunque en este caso el intento del oficial no funcionó, las noticias muestran que el uso de las llamadas técnicas de investigación de redes (NIT), el término general del gobierno de los EE. UU. Para piratear herramientas implementadas por la policía, no se limita al FBI. Aquí, el funcionario del Departamento de Policía de Seattle estaba trabajando en su calidad de Oficial de la Fuerza de Tarea para el Servicio Secreto de los EE. UU.

No se pierda nuestra siguiente capacitacion

Tips de consultoria compartidos por un facilitador con +25 años de experiencia laboral. 20 años de experiencia REAL en servicios de consultoria.

Seamus Hughes, subdirector del programa sobre extremismo en la Universidad George Washington, descubrió y compartió el expediente judicial con Motherboard.

En 2016, la Cárcel de la Entidad Correccional del Sur (SCORE) en Des Moines, Washington, encontró ransomware en su red de computadoras, de acuerdo con la solicitud de orden escrita por Chris Hansen, detective del Departamento de Policía de Seattle y Oficial de la Fuerza de Tarea del Servicio Secreto. El ransomware es un tipo de malware que generalmente encripta archivos en el sistema de un objetivo y luego exige un pago de recompensa en criptomoneda para desbloquearlos. En algunos casos, los atacantes de ransomware ofrecerán desbloquear un número limitado de archivos de la víctima para demostrar que tienen la capacidad de recuperar los datos.

Hansen habló con el director de tecnología de la información de la cárcel que figura en el expediente de la corte como “AM”, e informó que un usuario “no pudo acceder a los archivos de la computadora del usuario en un servidor que utiliza SCORE Jail para facilitar las búsquedas remotas de los registros de la cárcel por agentes de la ley con cuentas en el sistema informático SCORE Jail “, se lee en el documento. El ransomware parecía haber infectado el sistema a través de la cuenta de un policía de Auburn, Washington, que había sido hackeado.

Compartimos temas de interes:

El impacto fue considerable e interrumpió el trabajo durante más de 12 horas, infectó un recurso compartido de red utilizado por cada empleado en la cárcel, y el ransomware también “infectó un programa de software utilizado por varias agencias de aplicación de la ley para crear montajes de alineación, infectando los archivos de imagen se utiliza para crear estas alineaciones y evitar que los agentes de la ley accedan al sistema para buscar fotos de reserva de presos e imágenes de tatuajes “, se lee en el documento.

Junto con la gran cantidad de material cifrado en el sistema, se encontraba otro archivo nuevo.

“¡Hola, querido amigo! Parece que tienes algunos problemas con tu seguridad. Todos tus archivos ahora están encriptados”, decía el mensaje de los atacantes de ransomware, que agregaban que solo conservarían las claves para descifrar los archivos por no más de 72 horas

Mientras que Hansen y A.M. estaban en el teléfono, el ransomware seguía extendiéndose. Como A.M. tomó una imagen RAM (esencialmente preservando lo que estaba actualmente en la memoria del sistema) de una computadora con un proceso sospechoso ejecutándose en ella, el ransomware comenzó a bloquear también los archivos de ese sistema, se lee en el documento. Bajo la dirección de Hansen, A.M. contactó a una de las direcciones de correo electrónico proporcionadas por los atacantes en su mensaje original, lavandos@dr.com, y solicitó más información sobre cómo recuperar los archivos. El atacante del ransomware respondió y le preguntó a A.M. enviar tres de los archivos cifrados, agrega la queja.

Hansen revisó los encabezados de correo electrónico de la respuesta y descubrió que la dirección IP relacionada con el atacante era un nodo de salida de Tor. Tor es una red de anonimato que enruta el tráfico de un usuario a través de computadoras repartidas por todo el mundo. Debido a que esta claramente no era una dirección IP que ayudaría a identificar quién era realmente el atacante del ransomware, Hansen ideó un plan.

Hansen primero tomó un NIT, que en este caso era un programa que una vez que se ejecutaba en la computadora de un objetivo se conectaba de nuevo a un servidor del Servicio Secreto y revelaba la dirección IP de la máquina del sospechoso. Luego comprimió el archivo y, con la cooperación de la cárcel, colocó el archivo en la red comprometida de la cárcel, exponiéndolo deliberadamente al ransomware y cifrándolo.

 

Autor / Redactor / Director