El lunes por la tarde, el Departamento de Justicia de EE. UU. Dijo que se apoderó de gran parte del rescate de criptomonedas que el operador de gasoductos de EE. UU. Colonial Pipeline pagó el mes pasado a un colectivo de piratería ruso llamado DarkSide al rastrear el pago a medida que se movía a través de diferentes cuentas que pertenecen al grupo de piratería y finalmente entrar en una de esas cuentas con la bendición de un juez federal.
Es un giro para sentirse bien en una saga que comenzó con un ciberataque en Colonial y resultó en una escasez de combustible agravada por la compra de gasolina por el pánico el mes pasado después de que la compañía cerró uno de sus principales oleoductos (y luego sufrió un segundo oleoducto apagado debido a lo que describió como un servidor interno con exceso de trabajo). Pero Christopher Alhberg, un exitoso emprendedor en serie y fundador de Recorded Future, una compañía de inteligencia de seguridad que rastrea las amenazas al gobierno y las corporaciones y administra su propio brazo de medios, sugiere que los estadounidenses han sobrestimado a DarkSide todo el tiempo. Explicó mucho sobre la forma en que funcionan sus operaciones la semana pasada en una entrevista que pueden escuchar aquí. Siguen extractos más breves de esa conversación, editados a la ligera para mayor extensión.
TC: En general, ¿cómo funciona tu tecnología?
CA: Lo que hacemos es intentar indexar Internet. Intentamos interponernos en los datos de todo lo que está escrito en Internet, hasta los electrones que se mueven, y tratamos de indexarlos de manera que puedan ser utilizados por personas que defienden empresas y organizaciones. . . Tratamos de meternos en la cabeza de los malos, llegar al lugar donde se juntan los malos y entender ese lado de la ecuación. Tratamos de entender qué sucede en las redes donde operan los malos, donde ejecutan sus cosas, donde básicamente transmiten datos, donde ejecutan la infraestructura ilícita, todas esas cosas. Y también intentamos interponernos en las huellas que dejan los malos, que podrían estar en todo tipo de lugares interesantes diferentes.
TC: ¿Quiénes son sus clientes?
CA: Tenemos alrededor de 1,000 de ellos en total, y van desde el Departamento de Defensa hasta algunas de las empresas más grandes del mundo. Probablemente un tercio de nuestro negocio es (con) el gobierno, un tercio de nuestros negocios está en el sector financiero, luego el resto (comprende) un conjunto completo de verticales, incluido el transporte, que ha sido grande.
TC: ¿Les está ayudando a predecir ataques o a comprender qué sucedió en los casos en que es demasiado tarde?
CA: Puede ir en ambos sentidos.
TC: ¿Cuáles son algunas de las pistas que informan tu trabajo?
CA: Uno es comprender al adversario, a los malos, y en gran medida se dividen en dos grupos: tienes ciberdelincuentes y tienes agencias de inteligencia de adversarios.
Los criminales en los últimos meses en los que el mundo y nosotros también nos hemos centrado son estas bandas de ransomware. Entonces, estas son pandillas rusas, y cuando escuchas "pandilla", la gente tiende a pensar en grandes grupos de personas (pero) generalmente es un hombre o dos o tres. Así que no sobrestimaría el tamaño de estas pandillas.
(Por otro lado) las agencias de inteligencia pueden estar muy bien equipadas y (involucrar) a un gran número de personas. Así que una pieza se trata de rastrearlos. Otro artículo trata sobre el seguimiento de las redes en las que operan. . Finalmente, (nuestro trabajo implica) comprender los objetivos, donde obtenemos datos sobre los posibles objetivos de un ciberataque sin tener acceso a los sistemas reales en las instalaciones, y luego uniendo los tres cubos de forma automatizada.
TC: ¿Ve mucha polinización cruzada entre las agencias de inteligencia y algunos de estos recortes rusos?
CA: La respuesta corta es que, en nuestra opinión, estos grupos no están siendo asignados diariamente o mensualmente o tal vez incluso anualmente por la inteligencia rusa. Pero en una serie de países de todo el mundo (Rusia, Irán, Corea del Norte es un poco diferente, hasta cierto punto en China) lo que hemos visto es que el gobierno ha alentado una creciente población de piratas informáticos que ha podido, de una manera desenfrenada , para poder perseguir su interés, en Rusia, en gran medida, en el ciberdelito. Luego, con el tiempo, verá que las agencias de inteligencia en Rusia (FSB, SVR y GRU) pueden sacar a la gente de estos grupos o realmente asignarles tareas. Puede encontrar en documentos oficiales cómo estos tipos se han mezclado y emparejado durante un largo período de tiempo.
TC: ¿Qué pensaste cuando DarkSide salió poco después del ciberataque y dijo que ya no podía acceder a su servidor Bitcoin o de pago y que se estaba cerrando?
CA: Si hiciste este truco, probablemente no tenías ni idea de qué era Colonial Pipeline cuando lo hiciste. Es como, 'Oh, mierda, estoy en todos los periódicos estadounidenses'. Y probablemente haya un par de llamadas telefónicas comenzando a suceder en Rusia, donde básicamente, nuevamente, '¿Qué diablos acabas de hacer? ¿Cómo vas a intentar encubrir eso? "
Una de las primeras cosas más simples que vas a hacer es básicamente decir, "No fui yo" o vas a intentar decir, "Perdimos el dinero; perdimos el acceso a nuestros servidores. 'Así que creo que probablemente todo eso fue falso (y que) lo que estaban haciendo era solo tratar de cubrir sus huellas, (dado que) los encontramos más tarde, regresaron y trataron de hacer otras cosas. cosas. Creo que sobrestimamos la capacidad del gobierno de los EE. UU. Para responder rápidamente a estos tipos. Eso simplemente no sucederá tan rápido, aunque esto es puro conjuro. No estoy diciendo eso con acceso a información gubernamental interna ni nada por el estilo.
TC: Estaba leyendo que DarkSide opera como una franquicia donde los piratas informáticos individuales pueden venir y recibir software y usarlo como un proceso llave en mano. ¿Es eso nuevo y eso significa que abre la piratería a un grupo de personas mucho más amplio?
CA: Eso es correcto. Una de las bellezas del hacker ruso clandestino es su naturaleza distribuida. Digo "belleza" con un poco de sarcasmo, pero algunas personas escribirán el ransomware real. Algunos usarán los servicios que estos tipos brindan y luego serán los que podrían piratear para ingresar a los sistemas. Algunos otros tipos podrían ser los que operan las transacciones de Bitcoin a través de la caída de Bitcoin que se necesita. . . Uno de los puntos interesantes es que para sacar el dinero en efectivo al final del juego, estos tipos deben pasar por uno de estos intercambios que terminaron siendo negocios más civilizados, y podría haber mulas de dinero involucradas, y hay personas que dirigen el mulas de dinero. Muchos de estos tipos cometen fraude con tarjetas de crédito; allí también hay un conjunto completo de servicios, que incluyen probar si una tarjeta está viva y poder averiguar cómo sacar dinero de ella. Probablemente haya 10, 15, tal vez 20 tipos diferentes de servicios involucrados en esto. Y todos están muy especializados, razón por la cual estos muchachos han podido tener tanto éxito y también por qué es difícil hacerlo.
TC: ¿Comparten el botín y, de ser así, cómo?
CA: Lo hacen. Estos tipos ejecutan sistemas bastante efectivos aquí. Obviamente, Bitcoin ha sido un facilitador increíble en esto porque hay una forma de hacer pagos (pero) estos tipos tienen sistemas completos para clasificarse y clasificarse a sí mismos como un vendedor de eBay. Hay un conjunto completo de estos foros clandestinos que históricamente han sido los lugares donde estos tipos han estado operando e incluirán servicios allí para poder decir que alguien es un estafador (es decir, en relación con los) ladrones que se encuentran entre los ciberdelincuentes. Es muy parecido a Internet. ¿Por qué Internet funciona tan bien? Porque está super distribuido.
TC: ¿Cuál es su consejo para aquellos que no son sus clientes pero quieren defenderse?
CA: Un colega elaboró ​​un gráfico circular para mostrar qué industrias están siendo afectadas por ransomware y lo sorprendente es que simplemente se distribuyó en 20 industrias diferentes. Con Colonial Pipeline, mucha gente decía: "Oh, vienen del petróleo". Pero a estos tipos les importa un bledo. Solo quieren encontrar el objetivo en movimiento más lento. Así que asegúrese de no ser el objetivo más fácil.
La buena noticia es que hay muchas empresas que hacen lo básico y se aseguran de que sus sistemas estén parcheados (pero también) presionan ese maldito botón de actualización. Saca la mayor parte de tus cosas de Internet para que no estén mirando hacia afuera. Mantenga la menor superficie posible al mundo exterior. Use buenas contraseñas, use autenticación de dos factores múltiples en todo y cualquier cosa que pueda tener en sus manos.
Hay una lista de verificación de 10 cosas que debes hacer para no ser un objetivo tan fácil. Ahora, para algunos de estos tipos, las pandillas realmente sofisticadas, eso no es suficiente. Tienes que trabajar más, pero lo básico marcará una gran diferencia aquí.