En el mundo de la tecnología todo avanza rápidamente, para bien o para mal. Ejemplo de lo segundo es el ransomware, una nueva forma de ciberataques que, según expertos, podría convertirse en una amenaza para la seguridad nacional. Y dentro de ese mundo criminal, las nuevas técnicas afloran con cada atentado a las empresas, como lo hicieron los sobornos a empleados, la nueva estrella en el mundo del malware. 

Este método fue descubierto por Abnormal Security, una empresa que proporciona nuevas soluciones de seguridad online. Según informó, a los empleados les llegó un mail con un interesante ofrecimiento: obtendrían el 40% de un pago de 2.5 millones de dólares a cambio de un pequeño favor. ¿Cuál? Introducir un ransomware en las computadoras de su empresa, ya sea física o remotamente. 

¿Qué es el ransomware? Es una forma de malware —un software malicioso— diseñado para secuestrar bases de datos de una compañía y después exige un rescate millonario para liberarlos. En el último tiempo, el ransomware ha logrado inmiscuirse en las noticias por ataques muy resonantes como los realizados a Colonial Pipeline, JBS y Kaseya, que ocasionaron grandes demoras y enormes problemas que impactaron directamente en la vida cotidiana de las empresas.

Ransomware, sobornos y engaños

Según detalló Abnormal Security, decidieron que un empleado se hiciera pasar como interesado en ayudar al delincuente, por lo que respondió al correo electrónico que recibió. A la hora tuvieron una respuesta, en la que consultaron al supuesto empleado traicionero si tenía acceso al servidor Windows de su empresa. Ya con la confirmación, el hacker envió enlaces a sitios de transferencia de archivos, WeTransfer y Mega.

Uno de los archivos, denominado "Walletconnect (1) .exe", era efectivamente un ransomware, de la variante DemonWare. Estos tipos de malware tienen diferentes tipos: pueden ser más peligrosos, el ransomware Ryuk, o menos, como el que envió el atacante. 

Los mensajes del hacker

Acto seguido, Abnormal Security inventó que tenían ingresos anuales de 50 millones de dólares, e inmediatamente el monto de rescate se redujo de 2,5 millones a 120.000 dólares, ya que este tipo de ataques exigen un dinero acorda a lo que factura una empresa, buscando así asegurarse un pago. 

El ciberataque obviamente fracasó, sobre todo porque el hacker no fue muy prudente:  trató repetidamente de convencer al supuesto empleado de que el ransomware cifraría todo en el sistema sin dejar ningún rastro y afirmó que programó el ransomware utilizando el lenguaje de programación Python, lo cual era una mentira: todo el código de DemonWare está disponible gratuitamente online.

El phishing fue la clave y la mentira fue el fracaso

¿Cómo hizo el atacante para contactar a los empleados? Según admitió él mismo, envió correos electrónicos de phishing a ejecutivos de alto nivel de la empresa en un intento de comprometer sus cuentas. Cuando esto falló, obtuvo la información de contacto de los empleados de LinkedIn y luego envió correos electrónicos ofreciendo una parte de las ganancias por implementar ransomware.

Sin embargo, tuvo la mala fortuna de contactar una empresa de ciberseguridad, y no fue lo suficientemente creativo como para hacerse pasar como una entidad seria. Aseguró, por ejemplo, que era "el próximo Mark Zuckerberg", y reveló que está tratando de construir una plataforma de redes sociales africanas, ya que, supuestamente, tenía sede en Nigeria. Siendo un cibercriminal, dar ese tipo de información es bastante desacertado.

Además, afirmó tener vínculos con el grupo de ransomware DemonWare, que también se conoce como Black Kingdom y DEMON. "Claramente, esta persona no es exactamente un cerebro criminal, pero su intento de convertir a los empleados en amenazas internas fue notable y sugiere que esta podría ser una tendencia emergente", explicaron desde la empresa.

Roger Grimes, un analista de defensa basado en datos en KnowBe4, dijo a Teiss: “Esta no es la primera vez que escucho sobre empleados, disgustados o no, se les paga para colocar ransomware en sus empresas. El más famoso fue el millón de dólares prometido a un empleado de Tesla. En ese caso, se arrestó a un esparcidor de ransomware ruso".

"Creo que, basándonos en esta campaña, es interesante notar que el ransomware realmente ha llegado al punto en el que hay actores generalmente en otros espacios, al menos tratando de usar el ransomware para generar miedo y ganar dinero", declaró Crane Hassold, director de inteligencia de amenazas en Abnormal Security.