'Ransomware': La màfia que segresta la teva informació

BarcelonaLa veterinària, a l’ordinador de la feina, obre un correu electrònic mentre sonen els mugits de 3.000 vaques i vedells. Treballa a la granja Sant Jaume de Palau, a Vila-sana, envoltada de camps, i no ho sap però acaba de destapar la capsa de Pandora. “L’endemà la sala rotativa de munyir comença a donar errors, al programa de gestió la informació de molts dels animals és inaccessible i hi ha un missatge en anglès que diu que ho tenim tot encriptat i hem de pagar 7.000 euros en bitcoins per recuperar-ho”, recorda la ramadera Maria Àngels Rosselló. Caos. “Has de vigilar com van les vaques cada sis hores, la llet que fan, la potabilitat de l’aigua... i saber sempre quin animal està prenyat o no, i si se l’ha punxat amb antibiòtic”. Sense ordinadors la producció corre perill.

La cooperativa familiar amb una trentena de treballadors pateix un atac de ransomware. Un abordatge digital dels pirates del segle XXI, que en lloc d’atacar vaixells segresten arxius informàtics i reclamen un rescat (ransom, en anglès) per alliberar-los.

Jordi Garcia (nom fictici) veu un migdia com el servidor de la seva consultoria al Bages comença a treballar en contra seva: xifrant els documents de l’empresa, inclosa la còpia de seguretat. “Rebem un correu electrònic en anglès reclamant un rescat en bitcoins”, explica. Volen 3.700 euros i l’activitat del negoci queda aturada. El col·lapse duu Garcia a prendre una decisió més habitual del que sembla.

“De cop hi ha coses que no funcionen, però després descobrim que [els pirates informàtics] fa mesos que són als ordinadors”, recorda Àngels Seix. És sòcia de la cooperativa Drac Màgic, que gestiona, per exemple, la Mostra de Films de Dones de Barcelona. “Ens demanen un rescat de 3.000 euros en bitcoins i ens diuen que en 24 hores passarà a ser de 4.000 i que el tercer dia destruiran les dades”. Pànic. “És molta pressió”. La cooperativa es dedica a la divulgació de la cultura audiovisual i el seu arxiu és un tresor: aquest any ha fet mig segle.

Amenaça global

Els casos de la granja, la consultoria i Drac Màgic són tres de molts. Aquests dies el ciberatac que fa dos caps de setmana va noquejar la Universitat Autònoma de Barcelona (UAB) ha arribat a les portades, perquè és molt més greu: els pirates reclamen tres milions d’euros -bé, ara són 3,26, el bitcoin està en plena escalada- a canvi d’alliberar uns 650.000 arxius i carpetes. Però el ransomware pot afectar empreses i institucions de tota mida, i també qualsevol persona. És, per als experts, l'amenaça actual més perillosa de la ciberdelinqüència.

El secretari general de la Interpol, Jürgen Stock, en una videoconferència amb 300 comandaments de policia de 167 països feta fa tres mesos, va definir de "crítica" la necessitat "d'una estratègia global" contra el ransomware". Creu que "s'ha convertit en una amenaça massa gran perquè cap entitat o sector el resolgui sol". L'Europol admet que, en ciberdelinqüència, el ransomware és "l'amenaça més dominant", segons l'últim informe anual sobre el crim organitzat a internet. L'organisme del Centre Nacional d'Intel·ligència (CNI) dedicat a la ciberseguretat, el CCN-CERT, de fet, defineix el ransomware com "el tipus de codi maliciós més destructiu de l'última dècada". La multinacional d'antivirus Kaspersky va detectar 549.301 víctimes d'intents d'infecció de ransomware l'any passat, una mitjana de 1.500 al dia.

Negoci lucratiu

"Després de tres dies amb els cinc treballadors parats la feina s’endarrereix i no podem atendre els clients, per tant decideixo pagar el rescat", explica Garcia. "Comprem els bitcoins, els enviem i l’endemà rebem un nou correu amb un codi que introduïm segons les seves indicacions. El servidor comença a desencriptar i al cap de tres o quatre hores recuperem la informació", afegeix. El calvari no s’acaba aquí: canvien el servidor i tot el sistema de còpies de seguretat i tallafocs. Al final, l’empresa, que factura uns 220.000 euros l’any, se’n gasta 12.000 amb aquest incident, i el rescat només és prop d’un terç de la despesa.

Segons Kaspersky, el 32% de les víctimes de ransomware a Espanya acaben cedint. A escala mundial els que es rendeixen arriben al 56%. El 13% no recuperen els arxius.

A l'acte de la Interpol s’hi va explicar que, segons la plataforma Chainalysis –especialitzada en anàlisi de blockchains, el cor de dades de les criptodivises–, el negoci del ransomware havia generat 300 milions d’euros de beneficis el 2020, un 311% més que l’any anterior. Però el submon d’aquest tipus de pirateria és fosc i difícil d’analitzar, i les dades varien d'una entitat a l'altra. Un informe del Tresor dels EUA indica que l’any passat les deu variants de ransomware més habituals van aplegar transferències de criptodivises per valor de 357 milions d’euros. Afegeix que els primers sis mesos d’aquest any la xifra ja s’ha superat de llarg i arriba als 507 milions d’euros.

El consultor en seguretat informàtica José Nicolás Castellano ha ajudat nombroses empreses en atacs de ransomware i, tot i que sempre recomana que no es pagui, quan decideixen fer-ho les acompanya en el procés. "En la meva experiència els grups de ransomware compleixen: el seu negoci és la seva paraula", explica. Té lògica: si s'escampés que no compleixen les víctimes deixarien de cedir a l'extorsió i el negoci correria perill. Tot i això, quan acompanya aquests processos procura, per exemple, comprovar que el desxifrador que envien sigui realment això, i no cap trampa o alguna altra cosa. L'analista de Kaspersky especialitzat en malware Marc Rivero explica que la millor opció, davant d'una extorsió com aquesta, és no pagar, però que si es cedeix cal fer-ho acompanyat d'un especialista. "Pot ser que dins el desxifrador hi hagi un altre xifrador", avisa, i afegeix que alguns grups, quan s'adonen que hi intercedeix un especialista, avorten la negociació.

Ni la granja Sant Jaume de Palau ni Drac Màgic van pagar. "La còpia de seguretat al núvol també la van encriptar, però en teníem una altra en un disc dur extern que va quedar intacta", recorda Maria Àngels Rosselló. Hi faltaven les dades dels últims quatre dies, però les tenien en llibretes. "Ens vam posar les piles i vam anar introduint tota la informació, vam perdre un dia de llet, però en un dia ens vam recuperar". Àngels Seix explica que a Drac Màgic feia un any havien fet un canvi de servidor, i que per tant tenien còpia de tot... fins llavors. "Vam perdre tota la informació del 2018, però vam tenir clar des del principi que no volíem pagar, perquè és alimentar el monstre".

El director de l'Agència de Ciberseguretat de Catalunya, Oriol Torruella, i el cap de la unitat central de delictes informàtics dels Mossos d'Esquadra, el sotsinspector Albert Álvarez, demanen que no se cedeixi a l'extorsió. "Fomenta la continuïtat d’aquesta activitat i incrementa el risc de nous atacs", avisa Torruella. "Si pagues, finances el cibercrim", afegeix Álvarez, "i pagar no garanteix que t'aportin la clau per fer la desencriptació".

Trobar els responsables

"Ho vam explicar als Mossos, però no sabíem ni qui denunciar", diu Rosselló. Seix sí que ho va fer. "Va ser molt frustrant, més de dues hores esperant a la comissaria i no sabien ni de què parlàvem, ens van tractar com si allò no fos denunciable". Garcia, també: "Van avisar que no hi podrien fer res i que rebien força denúncies pel mateix tema". Cap dels tres casos es va resoldre.

La majoria d'empreses afectades no denuncien per evitar problemes de reputació, diu el sotsinspector Albert Álvarez, i reconeix la dificultat d'actuar, tot i que estan formant totes les unitats d'investigació dels Mossos. "Acostumem a trobar les adreces IP dels autors de l'atac, però solen ser en països de fora de l'Europa occidental, que no cooperen", lamenta. Recorda que en aquest negoci no només és de pirates, també de corsaris: "Hi ha grups de cibercrim esponsoritzats per alguns governs". Rivero afegeix un detall revelador: alguns d'aquests grups "fan servir malware que no afecta sistemes que tinguin el teclat en ciríl·lic". Castellano, però, matisa que això només dona pistes sobre l'origen dels desenvolupadors del programari.

Segons l'Europol, els atacs contra les corporacions més grans tenen diferents etapes i grups implicats. La primera etapa la fa un grup que infecta una xarxa o ordinador amb diferents mètodes (vectors d'atac) i tipus de malware. Aquest accés es ven després a uns altres pirates que fan el mapa de la xarxa objectiu, aconsegueixen cada vegada més privilegis dins del sistema, accedeixen a totes les màquines que poden i extreuen la informació. Finalment, es desplega el ransomware pròpiament dit, que xifra els arxius. Cada un d'aquests grups que col·labora en una mateixa família de ransomware pot estar en un país diferent. "Els desenvolupadors que fan el malware i els afiliats que l'executen se solen repartir els beneficis en una proporció del 60-40%", concreta Rivero.

"Els atacants s'estan tornant cada vegada més innovadors buscant beneficis", reconeix l'informe de l'Europol. I cada vegada opten més per atacs més ben preparats a entitats més grans, perquè són més lucratius. "Ara fins i tot són capaços de generar els seus propis 0 day", explica Castellano. Vol dir que saben trobar vulnerabilitats de programes informàtics que ni tan sols ha descobert l'empresa que els ha fet. I arriben a la doble i la triple extorsió, avisa Álvarez. Alguns grups extreuen la informació abans de xifrar-la i amenacen de fer-la pública. D'altres, si una empresa ho intenta amagar, també l'amenacen d'avisar directament els periodistes.

El ransomware que ha atacat la UAB s'anomena PYSA, per les sigles de l'eslògan Protect Your Sistem Amigo, que es pot veure a la pàgina del grup a la dark web. PYSA practica la doble extorsió. En poc més d'un any ha publicat dades robades a 240 empreses i entitats a la seva web, tot i que Torruella explica que en aquest cas "no hi ha indicis" que els atacants hagin extret dades de la universitat. Les víctimes del grup són sobretot centres educatius, però també n'hi ha com uns laboratoris de Texas especialitzats en fer testos de drogues o la Gran Lògia Maçònica de Florida.