El negociador entró en la sala de chat cuatro días después del ataque. Los hackers habían bloqueado varios servidores (con una amplia cantidad de datos sensibles) utilizados por el Departamento de Epidemiología y Bioestadística de la Universidad de California en San Francisco (UCSF) y querían un rescate de 3 millones de dólares para darles las claves. El viernes 5 de junio, a las 18:50 horas, dirigieron a un negociador de UCSF a una página web en la dark web, es decir, más allá del ámbito de Google, que enumeraba una docena de conjuntos de aparentes víctimas y demandas. Todo parecía extrañamente un portal de servicio al cliente. Justo debajo de la entrada de la universidad había un temporizador rojo parpadeante que contaba la fecha límite de pago. Decía: 2 días, 23 horas, 0 minutos. Si el contador llegara a cero, decía el mensaje de rescate, el precio se duplicaría.
En una conversación segura que los hackers establecieron con una clave digital, el negociador de UCSF dijo que el ataque no podría haber llegado en peor momento. El Departamento estaba corriendo para tratar de ayudar a desarrollar algún tipo de tratamiento o vacuna contra el COVID-19, comentó el negociador, e insinuó que los investigadores no se habían tomado el tiempo para respaldar debidamente sus datos. "Hemos invertido casi todos los fondos en la investigación de COVID-19 para ayudar a curar esta enfermedad", escribió el negociador anónimo en el chat, alegando algo entre pobreza y fuerza mayor. "Eso, además de todos los recortes debido a la cancelación de clases, ha ejercido una gran presión sobre toda la escuela".
El representante de los hackers, que se hizo llamar 'Operador', indicó que una escuela que recauda más de 7 mil millones de dólares en ingresos cada año, una con negociadores, abogados y consultores de seguridad a mano, debería ser buena para dar unos pocos millones. "Tienes que entender: tú que estás en una gran universidad, nuestro precio es una mierda", dijo 'Operador'. "Puedes cobrar ese dinero en un par de horas. Necesitas tomarnos en serio. Si publicamos en nuestro blog los registros/datos de los estudiantes, estoy 100 por ciento seguro de que perderá más del precio que pedimos". En ese momento, los hackers habían compartido una muestra de datos de los servidores robados que indicaban que efectivamente tenían material sensible.
Bloomberg Businessweek recibió, de una persona con acceso a la clave digital del chat, una transcripción completa de la conversación entre el Operador y el negociador de UCSF. Dichas claves tienden a distribuirse a los miembros del equipo interno de respuesta a crisis, a las autoridades y los consultores privados. La Universidad confirmó la infracción, pero dijo que la transcripción no debe tomarse al pie de la letra porque "las declaraciones y afirmaciones hechas por cualquiera de las partes estaban en el contexto de una negociación". Independientemente de sus exageraciones, la transcripción ofrece una mirada poco común a los tipos de ataques de ransomware secretos que generalmente se describen de manera impersonal a través de estadísticas del FBI, presentaciones regulatorias y declaraciones oficiales. A las víctimas generalmente no les gusta admitir que los hackers violaron su seguridad o que pagaron a los delincuentes.
Con el efecto de un vendedor de autos usados, 'Operador', probablemente con sede en algún lugar seguro fuera del alcance de las autoridades de EU, lideró la negociación que guardaba muchas similitudes con un secuestro de la vieja escuela. La principal diferencia era que los hackers a los que representaba habían robado datos, no personas.
De alguna manera, el COVID-19 ha impulsado el negocio del ransomware que ha proliferado, especialmente en Rusia y Europa del Este, durante los últimos años. La pandemia ha convertido a universidades, hospitales y laboratorios en objetivos de gran valor con acceso a datos que se utilizan para analizar nuevos tratamientos potenciales o documentar la seguridad de los candidatos a vacunas.
Las víctimas recientes incluyen Hammersmith Medicines Research, que realiza ensayos clínicos para nuevos medicamentos, y el investigador de anticuerpos 10X Genomics, aunque Hammersmith dice que repelió el ataque y 10X dice que su negocio no sufrió un impacto sustancial.
El COVID-19 también ha sido una ficha de presentación de algunos de los muchos grupos de ransomware que pasaron 2019 tratando de profesionalizar sus operaciones con un modelo de negocio corporativo falso, completo con comunicados de prensa, sitios web públicos e incluso declaraciones que establecen estándares éticos.
También hay más en juego en este cálculo que solo estafas tradicionales. El Departamento de Justicia de EU ha dicho dicho que los hackers patrocinados por el Estado chino están apuntando a instituciones globales que realizan investigaciones sobre el coronavirus para robar datos que podrían llevar a su país más rápidamente a una vacuna. La investigación del Departamento de Justicia resultó en la acusación en julio de dos piratas informáticos vinculados a la seguridad del Estado chino por atacar sistemas informáticos conectados a la investigación COVID-19. En el Reino Unido, el Centro Nacional de Seguridad Cibernética documentó un aumento en los ataques patrocinados por el estado contra instituciones de investigación británicas centradas en COVID-19, y atribuyó gran parte de ese aumento a Rusia, Irán y China.
UCSF no ha relacionado a los atacantes -cuyo inglés estaba plagado de tics gramaticales comunes entre los hablantes nativos de ruso- con ningún actor estatal extranjero. La Universidad dijo en un comunicado después del hackeo que el ataque no afectó su trabajo COVID-19, aunque los datos perdidos eran "importantes para parte del trabajo académico que realizamos como universidad al servicio del bien público". El FBI, que normalmente maneja los casos de ransomware en EU, remitió las preguntas sobre el ataque a la Universidad. Durante el enfrentamiento, el negociador les dijo a los hackers que la Universidad no sabía qué había en las computadoras bloqueadas. Sin embargo, la transcripción sugiere que, fueran cuales fueran los datos, la UCSFestaba desesperada por dar cuenta de ellos.
Según el blog de la web oscura de los hackers, el ransomware utilizado para atacar UCSF provino de Netwalker, una operación de piratería que ha tenido un auge desde el otoño pasado. Los posibles atacantes pueden alquilar el malware Netwalker como una especie de programa de franquicia. En marzo, el grupo publicó un anuncio de búsqueda en la dark web para reclutar nuevos afiliados. Las calificaciones incluían: "Intrusos de la red de habla rusa, no spammers, con preferencia por el trabajo inmediato y constante". En junio, otro anuncio prohibió a los angloparlantes postularse, según Cynet, una empresa de seguridad digital en Tel Aviv.
Aunque las bandas de ransomware han aprovechado la pandemia como una oportunidad, también tienden a jugar a ser el 'policía bueno'. En un comunicado de prensa del 18 de marzo, un gran grupo de ransomware conocido como Maze ofreció a las víctimas de la industria médica "descuentos exclusivos" en rescates. En una publicación de blog el mes siguiente, el grupo declaró: "Vivimos en la misma realidad económica que ustedes. Es por eso que preferimos trabajar bajo los arreglos y estamos dispuestos a comprometernos". No hay evidencia de que Maze haya ofrecido tales descuentos.
UCSF no tenía forma de saber con certeza si los hackers cumplirían su promesa de restaurar las computadoras bloqueadas tras el pago, un riesgo inherente a los ataques de ransomware. Algunas víctimas corporativas contratan negociadores profesionales con la esperanza de que estén en mejores condiciones de garantizar un final feliz mientras se ahorran unos cuantos dólares. Otros intentan resolverlo ellos mismos. UCSF dijo en su declaración que eligió contratar a un consultor privado para apoyar la "interacción con los intrusos", pero se negó a identificar a una empresa o individuo.
Con 2 días, 22 horas y 31 minutos en el reloj, el negociador de UCSF pidió una prórroga de dos días para que "el comité universitario que toma todas las decisiones" pudiera reunirse nuevamente. Esta es una táctica común para las víctimas que exploran sus opciones antes de recurrir al pago, pero sorprendentemente dada la falta de influencia de la escuela, los hackers estuvieron de acuerdo, con la condición de que la escuela duplicara su pago a 6 millones de dólares. "Esperaba que el Operador dijera: 'Sabes que estás bajo ataque, ¿verdad?' No hay fines de semana libres en un ciberataque", dice Moty Cristal, un negociador experimentado de ransomware en Tel Aviv que revisó la transcripción. "Pero en este caso, los malos casi disfrutaban de la conversación. Era parte del juego".
Jugar por tiempo puede ayudar a las víctimas de ransomware a evaluar mejor las amenazas a sus redes y datos. Kevin Jessiman, director de información de Price Industries, un fabricante canadiense de ventilación de aire, dice que el negociador que contrató su empresa el año pasado le permitió a su equipo diagnosticar el ataque que habían sufrido y explorar sus opciones. "Una vez que estuvimos seguros de que se podría restaurar una parte suficiente de nuestro sistema, dejamos de mantener comunicación", dice Jessiman, y agrega que Price dejó de hablar con los atacantes en unas 36 horas. A pesar de que el costo de restaurar y actualizar su sistema de seguridad fue millones de dólares mayor que la demanda de rescate, dice, Price se negó a pagar a los delincuentes.
UCSF descubrió que sus hackers habían logrado cifrar datos en tan solo siete servidores, según una persona familiarizada con la investigación, que habló bajo condición de anonimato por temor a represalias. Los atacantes habían copiado al menos 20 gigabytes de datos de las máquinas, por lo que tenían alguna idea de lo que contenían.
A lo largo de las negociaciones, el representante de la universidad tuvo cuidado en los cumplidos que dijo a Operador. Los expertos dicen que si bien esta es una estrategia de negociación transparente de nivel 101, también funciona. "Estoy dispuesto a resolver esto contigo, pero tiene que haber respeto mutuo. ¿No estás de acuerdo?", dijo el negociador, según la transcripción. "He leído sobre ti en internet y sé que eres un famoso grupo de hackers de ransomware y muy profesional. Sé que cumplirás tu palabra cuando acordamos un precio, ¿verdad? ".
Estas parecían ser palabras mágicas. "Somos 100 por ciento de respeto, nunca le faltaremos el respeto a un cliente que nos hable con respeto", señaló Operador. "No ofrezcas nada ridículo". Así que, naturalmente, la primera oferta del negociador fue algo casi ridículo. El comité "dijo que puedo presentar una solicitud por la cantidad máxima de 780 mil dólares, pero sería afortunado si recibiera la mitad".
El hacker se burló de los 390 mil dólares. Esta fue una oferta tan insultante, dijo el Operador, que el grupo de piratería amenazó con denunciar la pérdida de datos de estudiantes y profesores de UCSF a la Comisión Federal de Comercio (FTC, por sus siglas en inglés). "Le sugiero que reconsidere otra oferta, y esta vez una seria".
Era una amenaza vacía, y el negociador apeló a engañar al Operador. "La FTC no es una preocupación para nosotros. Solo nos gustaría desbloquear nuestras computadoras para recuperar nuestros datos. Sé que quieres ganar mucho dinero aquí, lo entiendo, pero debes entender que no tenemos tanto dinero en efectivo", dijo el negociador.
Eran las 22:46 horas del 9 de junio en San Francisco, y los dos llevaban cuatro días hablando.
Prolongar las negociaciones también podría haber sido útil para los hackers, dice Cristal, el negociador de ransomware, quien agrega que en los ataques de la era COVID, hay más en juego que dinero. El tiempo para examinar su recompensa podría haber permitido al equipo del Operador identificar una investigación lucrativa o propiedad intelectual que valía la pena subastar. Los atacantes afiliados a una empresa criminal a gran escala como Netwalker también pueden tener su propia burocracia para sortear, dice Cristal.
Después de ofrecer 390 mil dólares, el negociador de la UCSF regresó con una oferta de 780 mil dólares. El operador no quedó impresionado. "Guarde esos 780 mil dólares para comprar McDonalds para todos los empleados. Es una cantidad muy pequeña para nosotros. Lo siento", dijo el hacker. "¿Cómo puedo aceptar 780 mil? Es como que trabajé por nada".
En este punto, las negociaciones se volvieron muy emocionales, incluso personales. "Espero que sepa que esto no es una broma para mí", respondió el negociador. "No he dormido en un par de días porque estoy tratando de resolver esto por ti. Todo el mundo me ve como un fracaso y es culpa mía que esto esté sucediendo".
"Cuanto más dura esto, más me odio a mí mismo y deseo que esto termine de una forma u otra", agregó el negociador. "Por favor, señor, ¿qué podemos hacer?" .
No hay evidencia real de que esto fuera algo más que una táctica de negociación. De hecho, no está claro si alguna de las partes era realmente una sola persona; ambos podrían ser fácilmente varias personas trabajando por turnos. Aun así, Operador siguió el juego: "Amigo mío, su equipo necesita entender que esto no es su falla. Todos los dispositivos de internet son vulnerables".
El representante de UCSF respondió: "Te escucho y te agradezco por pensar que [no] soy un fracaso. Ojalá otros aquí vieran lo mismo".
A la mañana siguiente, el 9 de junio, UCSF ofreció poco más de 1 millón de dólares. El operador respondió con 1.5 millones de dólares. Con ambas partes tal vez sintiendo que el trato estaba cerca, el negociador de la Universidad jugó una última carta: "La buena noticia que quería compartir es que un amigo cercano de la escuela sabe lo que está pasando y se ha ofrecido a ayudar y donar 120 mil dólares para ayudarnos. Normalmente no podemos aceptar estas donaciones, pero estamos dispuestos a hacer que funcione solo si usted acepta terminar esto rápidamente. ¿Podemos terminar con esto para que finalmente podamos dormir bien?" .
Eso fue lo suficientemente bueno para el operador, quien respondió: "¿Cuándo puede pagar?". Los dos habían estado hablando durante casi seis días.
El negociador y el operador tenían un acuerdo: 1.14 millones de dólares, por un valor de 118 Bitcoin. UCSF pasaría otro día y medio liquidando el trato de su lado y comprando Bitcoin. Junto con el acceso a la clave de descifrado, el acuerdo incluía el compromiso de los hackers de transmitir todos los datos que habían robado de la red de la Universidad, presumiblemente para que UCSF pudiera determinar qué datos tenían los piratas informáticos en su poder y posiblemente podrían vender. Los atacantes tardarían casi dos días en descifrar, transmitir y demostrar que habían eliminado sus copias de los archivos, pero entregarían a las 02:48 horas del 14 de junio.
Una vez hecho el trato, Operador se complació un poco de curiosidad profesional sobre quién había estado realmente sentado en el otro teclado y preguntó: "¿Qué compañía de recuperación es usted?". El negociador no respondió.