La aseguradora La Segunda se encuentra bajo el ataque del ransomware LockBit desde hace dos semanas. Parte de su información sensible se encuentra en manos de cibercriminales que piden un rescate millonario en criptomonedas a cambio de devolverle el acceso a los sistemas comprometidos y sobre todas las cosas: evitar la publicación en la deepweb de los documentos internos de la compañía.
El primer plazo que dieron los criminales ya se cumplió y una parte de la información se hizo pública en el sitio de LockBit en la deepweb. Al momento de escribir este artículo, un comité de crisis que incluye a las máximas autoridades gerenciales de La Segunda, el equipo IT, el jefe de seguridad informática y consultores externos, mantienen reuniones para definir los pasos a seguir.
Según pudo reconstruir Rosario3, los primeros indicios de fallas en los sistemas de administración interna de la compañía empezaron el 11 de febrero. La noticia del secuestro la dio a conocer el periodista económico del Grupo Televisión Litoral, Mariano Galíndez, el domingo 26 de febrero tras indagar durante varios días con responsables del grupo asegurador. La confirmación le llegó el sábado por la noche —horas antes de que se cumpliera el primer deadline de LockBit para filtrar parte de la información— a través de un comunicado oficial donde se dio cuenta de “que (La Segunda) ha sido objeto de un ataque informático con ransomware de carácter extorsivo sobre parte de sus sistemas".
"Afrontamos una situación compleja, con la firme convicción de no ceder ante solicitudes ilegales que son opuestas a la identidad que hemos venido cultivando hace ya 90 años", expresó de forma oficial el grupo asegurador. LockBit mantuvo hasta el domingo por la tarde la posibilidad de pagar el equivalente a 5 millones de dólares para que La Segunda pueda descargar la información encriptada, borrarla o comprar tiempo para demorar la filtración. Hasta el momento una parte limitada de los datos (17 documentos) se hicieron públicos en la deepweb.
El ataque comenzó de forma escalonada según fuentes de la empresa que pidieron mantenerse en el anonimato. “Los trabajadores empezaron a notar que algunas funciones de uso habitual no funcionaban o se les dificultaba el acceso, lo que hacía el trabajo diario más lento”, explicaron. El 14 de febrero, el atacante o grupo, tenía el control total del sistema de gestión de La Segunda y nadie podía trabajar.
Un mail interno de la empresa informó a los trabajadores que la aseguradora estaba bajo un ataque de tipo ransomware en sus sistemas y que toda actividad laboral quedaba suspendida. Días después La Segunda habilitó el acceso a computadoras dentro del edificio de calle Juan Manuel de Rosas (el personal tiene un régimen de tres días por dos de home office desde la pandemia) y se logró que los empleados realicen funciones mínimas como el pago a proveedores de servicios.
La Segunda informó que mantiene copias de todos los documentos que le secuestraron y que con el paso de los días fue recobrando parte del sistema, pese a que el ataque sigue en curso al cierre de este artículo.
Tras filtrar 17 documentos el domingo 26, LockBit posteo en su sitio web que: “Durante nuestro ataque, todos los servidores de esta empresa fueron bloqueados. La data de la compañía fue robada. Información del seguro. Datos personales de los clientes, incluidos los pasaportes. Toda la información sobre la propiedad asegurada. Todo esto y mucho más (más de 100.000 archivos) se publicarán al público en caso de negativa a pagar el rescate”.
En la ventana de días en que se mantuvo la posibilidad de pagar el rescate por primera vez, y por las capturas de pantalla que hizo públicas La Segunda, los documentos no estuvieron disponibles para ser adquiridos o destruidos por cualquier broker independiente dispuesto a pagar los 5 millones de dólares que le exigen los criminales a La Segunda. Esta modalidad de extorsión que permite a terceros comprar los documentos robados, es empleada por LockBit para que la víctima del ataque sienta la presión de pagar lo antes posible.
Un artículo publicado por Wired afirma que entre las renovadas tácticas de presión que utiliza el grupo de cibercriminales, ahora “abrió sus opciones de pago a cualquiera. Esto podría, al menos teóricamente, dar lugar a que una empresa rival comprara los datos de una víctima de ransomware”. Rosario3 entró a la web de LockBit y esa opción no aparece disponible para documentos relacionados con el ataque a La Segunda, pero al chequear otras víctimas que mantienen deadlines vigentes, se comprobó que la disponibilidad a terceros es real.
Al parecer el método de presión se utiliza de forma puntual. El Grupo Albanesi, que entre sus centrales eléctricas se cuenta la Central Térmica Sorrento de Rosario, también está bajo un ataque del ransomware LockBit. Al igual que con La Segunda, en su deadline (28 de febrero, 23:56:49 UTC), no aparece la posibilidad de comprar o destruir la data robada por parte de otros actores o competidores.
César Libardi trabaja en el sector de seguridad informática y debió lidiar al menos en tres ocasiones con ataques de este tipo a empresas de Rosario. “Dos (ataques) se recuperaron pagando. Y el tercero había un respaldo reciente de la información y se decidió no pagar”, a lo que agregó: “En una ingresaron a través de un mail que inyecto el ransomware cuando lo ejecutaron. Los otros dos fueron vulneraciones, uno porque el sistema operativo estaba obsoleto y el otro porque el acceso remoto estaba mal protegido”, detalló.
Libardi recordó que el primer ataque en el que realizó trabajos de consultoría fue en 2015 y los atacantes usaron el malware Cryptlocker. “El grupo estaba bien organizado, tenían hasta una asistente por chat que te asesoraba en cómo lidiar con el hackeo y los pasos a seguir para el pago del rescate”, contó. Del resto dijo que: “uno fue con TeslaCrypt (2017) y el ultimo una variante de WannaCry (2021)”. Libardi confirmó que ningún grupo se hizo responsable de los ataques aunque en el primero, el de 2015, lograron identificar IP —dirección única que identifican a un dispositivo en Internet o en una red local— de Rusia e India.
En todos los casos que participó como consultor, el pago del rescate se hizo en bitcoins. La criptomoneda se compró en un exchange de forma legal (LocalBitcoins), se transfirió a una wallet (billetera cripto) que adquirió la víctima y luego a la de los delincuentes a través de la cadena de bloques (blockchain). Ese intercambio entre billeteras cripto, por fuera de un exchange formal, hace la transacción casi imposible de rastrear, ya que la billetera de los criminales se activa por un periodo de tiempo y luego se desconecta de la blockchain.
Por los ejemplos para pago de rescate que ofrece LockBit a sus víctimas, la mecánica sería la misma que describió Libardi en sus experiencias como parte de los equipos técnicos que enfrentaron situaciones de ransomware.
Este tipo de ataques a empresas como La Segunda se han convertido en moneda corriente desde el surgimiento y aumento de la cotización de las criptomonedas y la posibilidad de resguardar estos activos en billeteras virtuales independientes. Esta forma de dinero digital que opera por fuera de las instituciones financieras reguladas por la comunidad internacional, le permite a la criminalidad digital acceder a una forma de cobro que era inexistente hasta 2008. Año en que un tal Satoshi Nakamoto dio a conocer al mundo el protocolo bitcoin y generó una cuña en la forma de transaccionar activos financieros a través de Internet.
A diferencia del caso de estafa Rug Pull que contó Rosario3 semanas atrás, las personas o grupos criminales detrás de hechos como el ataque a La Segunda y Grupo Albanesi, jamás utilizarían un exchange legal para ejecutar el cobro de sus extorsiones. El peligro de ser detenidos por la Justicia al operar por esa vía es casi ineludible. En cambio, las billeteras digitales personales (que funcionan dentro de un pendrive que se conecta a la blockchain), son casi imposibles de rastrear por las autoridades estatales.
La Segunda aún no dio a conocer la forma en que lograron infiltrarlo con el ransomware LockBit, para eso habrá que esperar —y poder acceder a— los resultados de una futura auditoria interna a sus sistemas. En lo que coinciden especialistas consultados por Rosario3 es que las opciones no varían demasiado: un ataque físico (alguien introdujo el malware por medio de un pendrive), a través de phishing (un mail engañoso con una url falsa que al darle click infectó la computadora de un empleado y a través de esta el malware se expande dentro del sistema de la compañía) o una vulnerabilidad desconocida por el fabricante de alguno de los sistemas que utiliza la aseguradora y que es identificado por los criminales para explotarlo (ataque zero day). Se pueden dar otras opciones pero estas tres son las más comunes, explicaron a Rosario3.
El ataque físico implica la traición de un empleado, el grupo LockBit ofrece dinero a quienes estén dispuestos a correr el riesgo de infectar la empresa donde se trabaja. La Segunda opción, el phishing, es una táctica de las más comunes y lo que explota es la falta de educación digital de las personas que trabajan en este tipo de empresas. Una tarea, la de capacitar al personal, que en compañías que manejan grandes estructuras, se asume como prioritaria para los especialistas en ciberseguridad consultados.
Según fuentes anónimas de La Segunda, hace un tiempo el equipo de seguridad informática hizo una prueba de vulnerabilidad enviando un mail engañoso a 1800 empleados para testear cuantos daban click a la URL trucha creada por ellos, y la apertura fue de, más menos, 1200. El mail estaba diseñado para hacer dudar a quien lo recibiese si no cuenta con la preparación adecuada, ya que mantenía similitud con los que se suelen recibir de parte de las distintas gerencias.
Por último, la vulneración por ataque zero day se da en casos donde los criminales encuentran un punto débil en alguno de los sistemas que compró, o con los que opera, la empresa víctima. Estos ataques se dan de forma regular, pese a que las empresas que proveen software de gestión de sistemas —por poner un ejemplo—, invierten grandes sumas en dólares para contratar a los mejores en ciberseguridad. Se trata de empresas tecnológicas tope de gama del tipo Microsoft. Esto a su vez obliga a empresas de toda escala, en Argentina y en el mundo, sin distinción del sector en el que operan, a competir por estos perfiles sobre la base de escalas salariales que se manejan en dólares.
Iván Arce, especialista en seguridad informática argentino de renombre internacional, calculó que el salario de un programador junior en ese campo, no baja de los 3000 dólares mensuales. En “Estados Unidos, Europa, Asia ese es un piso razonable”, consideró. Alguien con años de experiencia probada, puede cobrar más de 120.000 dólares al año tanto en América del Norte como en el viejo continente, aunque no así en países como India.
Cómo funciona LockBit y el modelo de franquicias
El artículo que realizó Wired sobre el malware LockBit y el grupo criminal que le da soporte detrás, explicó que los ataques de ransomware de alto perfil (como La Segunda, Grupo Albanesi, etc.) que se distingue por secuestrar información de los sistemas que infecta, “se convirtieron en un hecho cotidiano en los últimos años”. Algo en lo que coincide el informe de Cisco y otro del Buro Federal de Investigación (FBI por sus siglas en inglés) de Estados Unidos.
El grupo empezó a tomar relevancia para Estados y agencias de seguridad de todo el mundo desde finales de 2019, por el alto perfil y la frecuencia de sus ataques. “Es posible que la banda de ransomware, LockBit, sea la más siniestra de este tipo de grupos criminales; su insensible persistencia, su eficacia y su profesionalismo, la hace funesta a su manera”, sentenció la revista especializada en tecnología estadounidense.
El estratega en jefe de seguridad de Analyst1, Jon Di Maggio, describió para Wired el desarrollo del malware LockBit en los siguientes términos: “... crearon un malware que cualquiera podía utilizar, con el que solo señalas un objetivo y haces clic. Actualizan su software, se fijan constantemente en la opinión de los usuarios y se preocupan por la experiencia de estos al emplearlo... En sí, [su líder] lo dirige como un negocio y, por eso, es sumamente atractivo para los delincuentes”.
La empresa de seguridad Dragos —citada por Wired— estimó que durante el segundo y tercer trimestre de 2022, el malware se utilizó en el 33% de los ciberataques contra organizaciones industriales, de los que el 35% estuvieron dirigidos contra infraestructura.
El Departamento de Justicia de Estados Unidos se refirió a los alcances de los ataques de LockBit y afirmó: “... [el malware] se desplegó contra más de 1000 víctimas en los Estados Unidos y en todo el mundo. Los miembros de LockBit han exigido al menos 100 millones de dólares en demandas de rescate a esas víctimas y han extraído decenas de millones de dólares en pagos de rescate reales de esas víctimas”.
El grupo opera bajo la modalidad “ransomware como un servicio” (RaaS por sus siglas en inglés), lo que significa que existe un equipo de desarrolladores que crea su malware y luego vende licencias de su código a personas, con o sin conocimiento técnico, que funcionan como afiliados o franquicias y se dedican a lanzar ataques contra objetivos elegidos o al voleo.
El sitio Security Week en un artículo que cita un informe del FBI sobre LockBit 2.0 explicó cómo funciona el malware dentro de una red atacada: “El ransomware elimina los archivos de registro y las instantáneas, recopila información del sistema y luego intenta cifrar todos los datos en las unidades locales y remotas, mientras omite los archivos utilizados para las funciones centrales del sistema. Una vez que se ha completado el proceso de cifrado, el malware se elimina del disco”.
Cuando un contratante del servicio de ransomware realiza un ataque exitoso y cobra un rescate, el afiliado le paga un canon por el uso de LockBit al grupo que lo creó. La “casa central” a su vez le da soporte técnico y actualizaciones constantes, para no ser detectados por los equipos que defienden las empresas atacadas, ni por las agencias de seguridad que los persiguen.
Wired contó que: “El grupo ha publicado dos grandes actualizaciones del código. LockBit 2.0, conocida como LockBit Red y lanzada a mediados de 2021. La otra es LockBit 3.0, o LockBit Black, liberada en junio de 2022”, detalló. “Los investigadores explican que la evolución técnica se ha dado paralelamente a los cambios en la forma de operación de la banda con los afiliados. Antes del lanzamiento de LockBit Black, el grupo trabajaba con un pequeño conjunto de entre 25 y 50 afiliados. Pero desde el estreno de la versión 3.0, la asociación se ha ampliado considerablemente, lo que dificulta la comprobación del número de integrantes implicados, y también la capacidad de LockBit para ejercer control sobre el colectivo”.
A esta empresa criminal internacional se encuentra sometido bajo extorsión de 5 millones de dólares el grupo asegurador La Segunda en este momento.
