Así trabajan los hackers rusos que atacan a Estados Unidos con ransomware

Brook Chelmo, manager de producto de la firma de seguridad Sonic Wall, cuenta que durante las dos semanas que sostuvo conversaciones con Twig, el joven, casi adolescente, le reiteró que el objetivo detrás de la operación de la célula parte de una idea nacionalista, consecuencia de lo que muchos jóvenes rusos piensan de países como Estados Unidos.

“La exposición al tema sobre la rivalidad entre Estados Unidos y Rusia en el sistema de escuelas públicas ruso es constante. Les enseñan mucho de lo malo de EU y Alemania y creen de verdad que son los malos, entonces su actuar se vuelve en parte patriotismo o una manera de demostrar que eres más fuerte y mejor que el otro”, cuenta Chelmo en entrevista con Expansión.

Recomendamos: ¿Tendremos nuevos gadgets por el Coronavirus? entérate en este podcast: 343podcast

Chelmo explica que dada la importancia que Rusia le ha dado a la formación de sus estudiantes en tecnologías de misión crítica, como informática y ciberseguridad, el tinte nacionalista e histórico acompaña también estas disciplinas a las que cerca de 600,000 ciudadanos rusos se han abocado en la última década, esto de acuerdo con datos de la Universidad de Investigación Perm State, que retoma datos de quienes presentaron el examen de admisión a carreras relacionadas a informática en Rusia entre 2005 y 2016.

Chelmo detalla que en las conversaciones con Twig, el casi adolescente, describía que el ransomware es una forma de buscar retribución para su país por todo lo que otras naciones les habían quitado en tiempos, por ejemplo, de la Segunda Guerra Mundial.

A quién atacar y cómo

Según Chelmo, una célula de hackers como Hildacrypt no lanza un ataque de ransomware aleatoriamente, tienen medidas y restricciones, como por ejemplo las escuelas y hospitales.

“Se han dado cuenta históricamente que las escuelas no pagan los rescates”, dice.

Además, todos los ataques virtuales de este tipo, que implican un rescate, no van dirigidos a ciudadanos o entidades rusas, si no al exterior.

En cuanto a la forma de atacar, el especialista detalla que usan a su favor el software que normalmente se usa para redes sociales u otras plataformas, como el sitio de mensajería para gamers llamado Discord.

“Discord es una plataforma de gaming social media pero detrás de esto tiene un scripting engine (motor de secuencia para ejecutar comandos) que puedes usar. Puedes poner en éste una alerta sobre si hay un Pokemón cerca, pero la herramienta es tan buena que muchos hackers la están usando para pinnear redes que tienen vulnerabilidades y para saber dónde hay huecos en la red y así atacar”, cuenta Chelmo.

De acuerdo con Twig, sus puertos favoritos para ingresar a un sistema ajeno son el 5900 y el 5901 y le es más fácil de acceder a un sistema, cuando está programado en Java , que cuando está en C o C+. Según reportes de analistas forenses, dichos puertos ocupan el número 19, como los más vulnerados en el mundo.

Por medio de estas herramientas, Chelmo cuenta que la célula materializa ataques de ransomware, phishing y spear phishing, aunque los dos últimos son de los más atacan en volumen a personas y empresas, el ransomware, en especial se ha convertido en un arma que genera altas ganancias económicas para los hackers y considerables impactos a las empresas que lo sufren.

El ransomware funciona como un secuestro. Los hackers se infiltran en un sistema y comprometen su información, red y credenciales al negar la entrada a los usuarios de los equipos a menos de que paguen un rescate por su información, el cual suele tasarse en bitcoins y aún pagándolo no se garantiza que los criminales regresen los accesos o la información robada.

Un ransomware fue el tipo de ataque que recientemente impactó los sistemas de Pemex, la petrolera mexicana.

¿Qué quiere un hacker?

Si bien Chelmo advierte que lo que inspira a Twig y el resto de los miembros de la célula es una cierta inspiración nacionalista, a futuro, ellos lo que buscan es trabajar para una firma de informática forense cuando tengan más edad, lo que dijo le hizo humanizar el cliché de un hacker.

“Los hizo más humanos a mis ojos. Eso por un lado, porque estuve en mi juventud dando talleres de readaptación en prisiones con gente que estaba intentando reconstruir sus vidas, entonces lo he visto, he visto criminales en mi vida pero esta es la primera vez que tengo contacto con un cibercriminal y es muy diferente su manera de ver las cosas. Estar en contacto con esta forma de crimen es diferente porque es gente preparada, que tiene la oportunidad de hacerse una vida honesta y limpia pero simplemente elige no hacerlo”, argumenta Chelmo.