Noticias

Se descubre que una empresa de recuperación de datos pagaba a los cibercriminales a espaldas de sus clientes

En el mundo del ransomware y los negocios turbios que lo rodean es difícil distinguir lo bueno de lo malo, y puede que quienes nos ofrecen ayuda terminen beneficiando más a los cibercriminales que a las propias víctimas. Esto es lo que sucedió con la compañía de recuperación de datos Red Mosquito, que ofrecía sus servicios de seguridad a las víctimas de Ransomware para devolverles el acceso a sus datos, pero en realidad lo que hacía era pagar en secreto el rescate a los cibercriminales y cobrarle 4 veces más a los usuarios por mediar este contacto.

El investigador de seguridad Fabian Wosar de la compañía antivirus Emsisoft descubrió la situación tras hacer una operación encubierta en la que se hizo pasar por la víctima y a la vez por un cibercriminal que estaba en contacto con Red Mosquito.

El ransomware es cada vez más conocido por infectar los equipos y cifrar su contenido para que los usuarios no tengan acceso a él si no pagan un rescate a los cibercriminales. En su sitio web, Red Mosquito Data Recovery se describe como un servicio de consultorías y recuperación de datos que ha resuelto cientos de casos de ransomware en todo el mundo desde el año pasado. La compañía ofrece una “alternativa profesional” a pagar el rescate que exigen los programas chantajistas.

Aunque advierte que a veces la única opción viable para descifrar los datos es pagar a los delincuentes, la compañía también dice que “no recomienda negociar directo con los criminales porque se puede comprometer todavía más la seguridad” del equipo y los usuarios.

Pero la investigación de Wosar reveló que Red Mosquito Data Recovery “no hizo ningún esfuerzo para evitar pagar el rescate”, y en vez de ello “se dirigió directo al autor del ransomware a sólo minutos” de que el usuario le pidiera ayuda.

“No tengo copias de seguridad pero no quiero pagarle a esos malditos”, escribió Wosar a Red Mosquito, haciéndose pasar por una víctima. Red Mosquito dijo que estaba “bastante seguro” de que podía recuperar la información, pero dos minutos después envió un mensaje a la otra cuenta de Wosar, la del supuesto cibercriminal, preguntándole: “¿Cuánto por el descifrado?”.

El investigador pidió 1.200 dólares en bitcoin, pero regatearon hasta los 900 $. A la mañana siguiente, la cuenta de la víctima de Wosar recibió un mensaje que confirmaba que se podían recuperar los datos cifrados. Red Mosquito pedía 3.950 dólares por este servicio. Es decir, más de cuatro veces lo que pedía el cibercriminal.

Si bien es cierto que todavía no se han encontrado las llaves de descifrado para muchas cepas de ransomware, los expertos en seguridad siempre piden a los internautas que eviten pagar el dinero a los cibercriminales, ya que por un lado se estaría apoyando el negocio que tienen montado y por otro no existe ninguna garantía de que vayan a cumplir con su palabra y entregar una llave de descifrado válida.

Es por eso que los expertos en seguridad como Wosar consideran cuestionable el comportamiento de Red Mosquito Data Recovery, en especial si se toma en cuenta que la víctima pidió de forma explícita que no se pague al cibercriminal y jamás se le informó que ésta sería la forma de recuperar sus datos. “Este tipo de comportamiento es el que hace que el ransomware siga existiendo”, opinó Fabian Wosar.

El experto en seguridad se puso en contacto con el sitio web de noticias ProPublica para la difusión de sus descubrimientos. ProPublica investiga situaciones de abuso de poder y trató de ponerse en contacto con Red Mosquito Data Recovery, pero afirma que no recibió ninguna respuesta a sus llamadas y correos electrónicos. Pero sí notó que había cambiado su descripción en su sitio web de “consejos gratuitos y honestos” a “consejos gratuitos y simples”, y en vez de asegurar que había resuelto “cientos” de casos de ransomware, el sitio decía que había resuelto “muchos”.

“Existen compañías legítimas que ofrecen servicios valiosos”, dijo un portavoz de Emsisoft. “Puede ser de gran utilidad tener una guía durante el proceso, pero hay que tener cuidado a la hora de escoger con quién trabajar y asegurarse que sean transparentes con los procesos que utilizarán”. Una de las organizaciones más reconocidas en su lucha contra el ransom es NoMoreRansom, que trabaja con expertos de seguridad confiables como los de Kaspersky Lab para combatir esta amenaza.

Fuentes
Sting Catches Another Ransomware Firm — Red Mosquito — Negotiating With “Hackers” • ProPublica
Ransomware Recovery Firm Caught Wanting to Pay Off Hacker • PCMagazine
Biz tells ransomware victims it can decrypt their files… by secretly paying off the crooks and banking a fat margin • The Register

Se descubre que una empresa de recuperación de datos pagaba a los cibercriminales a espaldas de sus clientes

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada