Mes: junio 2022

CIBER BRIBING – SOBORNO DIGITAL

Técnicas de ciber crimen donde el atacante contacta al personal critico de la institución para obtener accesos privilegiados o información sensible como tablas y bases de datos.

En el campo físico se conoce como Cohecho simple o calificado cuando involucra funcionarios publicos. También se conoce como soborno con la particularidad que el sobornado puede no estar plenamente consciente del alcance de sus acciones. Puede haber sido convencido a instalar un programa, conectar un dispositivo o algo aparentemente simple, sin embargo eso da el acceso suficiente al atacante. .

Una característica importante puede ser el uso de ingeniería social y suplantación de identidad para el abordaje inicial del cómplice o víctima.

CASOS FAMOSOS

Sobornar a los empleados: ¿Qué pasó?

CASO ABNORMAL SECURITY

En agosto, Abnormal Security notó que los empleados recibieron correos electrónicos en los que se les pedía que se convirtieran en cómplices de un ataque de ransomware. El actor de amenazas envió un correo electrónico a los empleados diciéndoles que se les pagaría el 40 por ciento del rescate de $ 2.5 millones para implementar ransomware en las computadoras de su empresa, ya sea física o remotamente, y dejó información de contacto.

Los ciberdelincuentes generalmente implementan ransomware a través de archivos adjuntos de correo electrónico o mediante configuraciones de red privada virtual (VPN). Naturalmente, los investigadores de Abnormal Security tenían curiosidad acerca de los métodos de este actor de amenazas en particular, por lo que decidieron hacerse pasar por empleados dispuestos a participar en el esquema y se acercaron a los estafadores.

CASO TESLA

El Departamento de Justicia de EE. UU. acaba de presentar cargos en un caso explosivo que involucra a Tesla que todos en el mundo corporativo deberían leer.

Los documentos judiciales nos llevan al interior de una operación cibernética del FBI que revela intentos de soborno de alto valor por parte de operadores de ransomware.

Estos sobornos pueden convertir a los empleados de confianza en infiltrados maliciosos que secretamente ayudan a lanzar un ataque de ransomware contra su organización.

Los ciberdelincuentes atacaron a Tesla a través de un empleado que trabaja en su Gigafactory en Sparks, Nevada.

A partir de la publicación, el CEO Elon Musk ha dicho poco, excepto agradecer a los fanáticos de Tesla por su apoyo.

Sin embargo, conocemos una cantidad increíble de detalles sobre este ataque debido a los documentos judiciales recientemente publicados.

El caso se lee como una novela de John Grisham: el dinero, el engaño, la oportunidad de venganza, todo está aquí. Pero en este caso, es real, con lecciones reales para los profesionales de la seguridad de la información.

Génesis: cómo comenzó el esfuerzo de ataque de ransomware

Según el Departamento de Justicia de EE. UU., este esquema de ransomware salió a la luz el 16 de julio de 2020.

Los fiscales dicen que esto es cuando el ciudadano ruso Egor Igorevich Kriuchkov usó WhatsApp para enviar un mensaje a alguien en los Estados Unidos. El mensaje no era solo para una persona al azar, por supuesto, sino más bien para un objetivo específico: un empleado de una empresa que Kriuchkov quería atacar. 

Según el DOJ, Kriuchkov y su "grupo" son operadores de ransomware. Lanzan ataques de ransomware contra empresas, roban los datos y luego amenazan con publicar la información a menos que se pague un rescate masivo.

Es un giro de 2020 en un tipo de delito cibernético que solía simplemente cifrar o bloquear datos durante un ataque. Las copias de seguridad hicieron que fuera demasiado fácil no pagar, por lo que ahora, los operadores de ransomware sofisticados también roban los datos. Y sorpresa, sorpresa, más organizaciones están decidiendo pagar.

Resulta que a este operador de ransomware le gusta sobornar a los infiltrados para que lo ayuden a lanzar un ataque contra su propio empleador.

Ahora, más detalles del caso. Los fiscales dicen que Kriuchkov identificó a su próxima víctima de ransomware (una organización que ahora sabemos que era Tesla) y le envió un mensaje a uno de sus empleados en Nevada, preguntando si el empleado lo recibiría durante una visita a los EE. UU.

Los dos se conocían en común, por lo que la conexión estaba ahí. El empleado dijo que estaba dispuesto a recibir la visita del hombre ruso, y Kriuchkov voló de Rusia a los Estados Unidos el 28 de julio de 2020, usando su pasaporte ruso y una visa de turista para ingresar a los EE. UU.

Luego alquiló un Toyota Corolla en San Francisco, compró un teléfono celular y condujo hasta Reno, Nevada, para reunirse repetidamente con el empleado, el empleado al que le había enviado un mensaje por WhatsApp, el empleado que trabajaba en la siguiente corporación que estaba siendo atacada por ransomware. En Tesla.

A principios de agosto de 2020, Kriuchkov incluso llevó al empleado y a sus amigos hasta el lago Tahoe y pagó todos sus gastos. El agente especial del FBI Michael Hughes, quien investigó el caso, dice que parece que Kriuchkov estaba preparando su marca:

"A través de mi capacitación y experiencia, sé que las personas involucradas en la recopilación de inteligencia y/o actividades delictivas a menudo gastan de manera extravagante en personas que intentan reclutar y/o cooptar para participar en actividades delictivas".

Y eso es lo que se desarrolló a continuación.

Operador de ransomware intenta reclutar empleados como amenaza interna

Así que ahora, el sospechoso en este caso, Egor Kriuchkov, ha establecido una relación con un empleado de una empresa contra la que su grupo quiere lanzar un ataque de ransomware.

El empleado, la marca, aún no lo sabe. Pero según documentos judiciales, se entera el 3 de agosto. Kriuchkov le pregunta al empleado si lo ayudará con un "proyecto especial" que él y su grupo están tratando de coordinar. El FBI explica lo que quiere decir:

• Los co-conspiradores proporcionarían al empleado malware para transmitir subrepticiamente al sistema informático de la Compañía Víctima A (el objetivo).

• Los co-conspiradores participarían en un ataque de denegación de servicio distribuido (DDoS) para desviar la atención del malware.
• El malware permitiría a los conspiradores extraer datos de la red de Victim Company A.
• Una vez que se extrajeron los datos, los conspiradores extorsionarían a la Compañía Víctima A por un pago sustancial.
• Tanto Kriuchkov como el empleado serían compensados. 

Y esto no es un trabajo de $1,000. Eventualmente, Kriuchkov y su grupo de ciberdelincuencia acordaron pagarle al empleado $1 millón por ayuda interna para llevar a cabo el ataque de ransomware.

Lo que esta pandilla de ransomware no sabía es que el empleado en este caso, la marca de la pandilla de ransomware, se acercó a su empleador y al FBI. Y eso preparó el escenario para una operación encubierta del FBI.

La picadura del FBI atrapa a los ciberdelincuentes en las etapas de planificación

Si se dedica a la seguridad de la información, el gobierno y el riesgo, o el liderazgo corporativo, ya se está haciendo una idea de hasta dónde llegará una banda de delincuentes cibernéticos para ingresar a su red a través de un infiltrado. Es un pensamiento escalofriante.

Pero como estamos a punto de ver, las técnicas de los operadores de ransomware también se revelarán durante la operación cibernética del FBI.

La operación encubierta tuvo lugar en una gasolinera en Reno, Nevada, mientras los agentes investigadores observaban, grababan y fotografiaban la reunión.

Tal como se ve en los programas de detectives, el empleado que el grupo de Kriuchkov estaba tratando de sobornar hizo que Kriuchkov hablara, en detalle, sobre cómo se desarrollaría el ataque. De los documentos judiciales:

"Kriuchkov describió el ataque de malware como lo hizo antes, y agregó que la primera parte del ataque [DDoS] sería exitosa para el 'grupo', pero los oficiales de seguridad de Victim Company pensarían que el ataque había fallado".

Guau. Si su organización ha sido atacada por ransomware, ¿tuvo un ciberataque previo que aparentemente detuvo? Podría haber sido solo una distracción para ocultar el ataque real.

La picadura del FBI continúa.

Los agentes escuchan la discusión entre Kriuchkov y el empleado al que intentó convertir en ciberdelincuente. El empleado aparece aquí como CHS1 (fuente humana confidencial 1):

"KRIUCHKOV volvió a enumerar empresas anteriores a las que el 'grupo' se había dirigido. KRIUCHKOV afirmó que cada una de estas empresas objetivo tenía una persona trabajando en esas empresas que instalaba malware en nombre del 'grupo'. Para aliviar las preocupaciones de CHS1 sobre ser atrapado, KRIUCHKOV afirmó que el 'proyecto' más antiguo en el que había trabajado el 'grupo' tuvo lugar hace tres años y medio y el cooptado del 'grupo' todavía trabajaba para la empresa. KRIUCHKOV también le dijo a CHS1 que ' group' tenía personal técnico que se aseguraría de que el malware no pudiera rastrearse hasta CHS1".

Si Kriuchkov está diciendo la verdad, eso significa que al menos parte del aumento reciente en los ataques de ransomware puede estar relacionado con empleados que ayudan a los ciberdelincuentes a llevar a cabo ataques de ransomware.

Recuerda el caso de amenazas internas de AT&T Wireless , que cubrió SecureWorld News , donde los empleados aceptaron sobornos. Y nos hace pensar en una entrevista que hicimos el año pasado con el Dr. Larry Ponemon, uno de los principales investigadores de TI y seguridad de TI del mundo.

“Las amenazas internas no se consideran tan seriamente como las amenazas externas, como un ataque cibernético. Pero cuando las empresas tenían una amenaza interna, en general, eran mucho más costosas que los incidentes externos.  

El costo de la amenaza interna puede ser muy alto, porque el interno que es inteligente a menudo tiene las habilidades adecuadas para ocultar el crimen, a veces para siempre".

¿Qué pasa si los empleados deshonestos están ayudando a llevar a cabo ataques de ransomware y siguen trabajando en la organización que ayudaron a atacar?

Ahora, volvamos a la picadura del FBI.

Egor Kriuchkov le dice a su marca (CHS1) que puede atacar a su empresa y salirse con la suya y también puede vengarse de otra persona si así lo desea:

"KRIUCHKOV también le dijo a CHS1 que el 'grupo' tenía personal técnico que se aseguraría de que el malware no se pudiera rastrear hasta CHS1. De hecho, KRIUCHKOV afirmó que el grupo podría atribuir el ataque a otra persona en Victim Company A, en caso de que haya alguien en mente. CHS1 quiere dar una lección".

Durante la reunión, el FBI dice que Kriuchkov aceptó nuevamente el pago de $1 millón por la ayuda del empleado, que incluía un pago inicial de $50,000.

Picadura cibernética del FBI, parte 2: ¿cuánto dinero ganan las pandillas de delitos cibernéticos?

El informante en este caso, el empleado que Kriuchkov estaba tratando de sobornar, tuvo otra reunión con Kriuchkov el 17 de agosto de 2020 en un restaurante de Reno. El FBI también estaba observando y escuchando esta reunión.

Y parece responder a una pregunta sobre los ataques de ransomware: ¿cuánto están dispuestas a pagar las organizaciones para recuperar sus datos o destruirlos en lugar de publicarlos?

Mucho más, resulta, que el soborno de un millón de dólares requerido por el crimen. De los documentos judiciales:

"KRIUCHKOV dijo que las empresas víctimas generalmente negocian con el grupo para pagar menos dinero del rescate que el grupo solicita inicialmente, por ejemplo, una empresa recibió un rescate de US $ 6 millones y finalmente pagó US $ 4 millones. Dijo que solo una empresa pagó el rescate inicial completo. "

Y el grupo de piratas informáticos creía que los datos que el empleado robaría podrían obtener un rescate de $ 4 millones de la empresa. A pesar de esto, el grupo dudaba de su promesa de un pago inicial al empleado:

"KRIUCHKOV afirmó que el grupo nunca proporcionó un pago por adelantado a los cooptados y no se sentía cómodo dando dinero por adelantado a CHS1".

Pero había una solución: una cuenta de depósito en garantía criminal.

"KRIUCHKOV dijo que el grupo había usado previamente un programa llamado 'Exploit' para un acuerdo de depósito en línea".

¿Qué tendría que hacer el empleado para que los operadores de ransomware obtengan su pago completo? Los documentos judiciales dicen que involucró lo siguiente:

• Descarga todos los archivos solicitados por los ciberdelincuentes.
• Planifique un turno completo de descargas, de 6 a 8 horas.
• Comparta detalles de la red de la empresa para que se pueda desarrollar malware personalizado para el ataque, que le estaba costando al grupo seis cifras.

Y durante esta conversación, surgieron más detalles del grupo de ciberdelincuencia:

"CHS1 declaró que KRIUCHKOV también mencionó a otro miembro del grupo (no por su nombre) que es un pirata informático y un empleado de alto nivel de un banco del gobierno en Rusia. CHS1 dijo que este miembro del grupo se especializa en encriptación y trabaja para garantizar que el malware no pueda ser rastreado. a CHS1 después de que CHS1 lo instale en la red. KRIUCHKOV dijo que el grupo esperaría obtener US $ 4 millones de dólares de la Compañía Víctima A.

CHS1 informó que KRIUCHKOV dijo que el grupo tuvo que pagar US $ 250,000 por el malware, que se escribiría específicamente para apuntar a la red informática de Victim Company A. CHS1 informó que KRIUCHKOV dijo que después de que CHS1 y el grupo llegaran a un acuerdo, el grupo tardaría de diez a doce días en preparar el malware porque estaría diseñado para la red de la Compañía Víctima A".

¿Malware personalizado para un solo ataque? ¿Equipos que pueden manipular la atribución de ataques? ¿Cuentas de depósito en garantía para garantizar que se cumplan las promesas financieras?

Esto empieza a parecerse mucho al modelo de negocio empresarial del delito cibernético , sobre el que puede escuchar más en este reciente podcast de SecureWorld que presenta a un investigador de delitos cibernéticos del Servicio Secreto de EE. UU.:

En este intento de ataque a Tesla, el FBI también descubrió que el grupo se comunicaba a través del navegador TOR anónimo y el sistema de chat Jabber.

A continuación, se produjeron más reuniones entre Kriuchkov y el empleado al que quería sobornar. El empleado se estancó y el FBI grabó. Esto incluyó una reunión el 21 de agosto.

Aquí es cuando el FBI dice que Kriuchkov le dio al empleado un teléfono desechable y le indicó que lo dejara en modo avión. Una vez que el empleado recibió un pago inicial de Bitcoin, se le dijo que habilitara la conectividad y se comunicara con el grupo para ayudar con el ataque.

Esa fue la reunión final; la picadura del FBI había terminado.

Sospechoso arrestado en investigación de ransomware

El 22 de agosto, el FBI intervino y arrestó a Egor Kriuchkov, de 27 años, en Los Ángeles cuando intentaba regresar a Rusia. El sospechoso, un ciudadano de Rusia, ahora está detenido hasta su juicio en el futuro.

No es sorprendente que haya tenido algunos errores operativos de seguridad que ayudaron al FBI a rastrear sus movimientos. Usó su Mastercard para pagar una habitación de hotel a través de Booking.com. Alquiló ese Toyota Corolla a través de Hertz.

¿Y recuerda ese viaje de "acicalamiento" del lago Tahoe? Había una hermosa puesta de sol esa noche, y después de resistirse al principio, accedió a regañadientes a salir en una foto con el empleado que estaba tratando de convertir en una amenaza interna.

Ahora todas estas cosas serán usadas en el caso contra él.

Conclusiones de la picadura de ransomware del FBI

Para aquellos en seguridad cibernética, ciertamente hay cosas para reflexionar como resultado de esta investigación.

Es una oportunidad de mirar hacia afuera en una operación sofisticada de ciberdelincuencia y hasta dónde llegarán estos grupos para hacer sus millones.

También es una oportunidad para mirar hacia adentro: ¿tiene su organización un programa de gestión de amenazas internas que pueda ayudar a prevenir o mitigar un ataque facilitado por uno de sus propios empleados?

Y aquí hay una última pregunta que nos hacíamos; quizás usted también: ¿por qué el empleado de Tesla que podría haber ganado un millón de dólares ayudó al FBI y frustró el ataque?

Según los documentos judiciales, parece que el empleado no es ciudadano estadounidense, pero es un gran admirador de los EE. UU. Aquí hay una nota a pie de página de los documentos judiciales con respecto a Confidential Human Source 1 (CHS1):

"CHS1 está cooperando con el FBI debido al patriotismo de los Estados Unidos y una obligación percibida con la Compañía Víctima A. CHS1 no ha solicitado ni se le ha ofrecido ninguna forma de pago, incluida la consideración con respecto a la inmigración o la ciudadanía".

Quizás alguien, en algún lugar, ayude a cambiar eso como agradecimiento por prevenir un ataque cibernético multimillonario y ayudar a revelar el funcionamiento interno de estos esquemas.