Caso 1: El analista de seguridad malo

Un hombre de Reino Unido de 28 años de Fleetwood, Inglatera,
ha sido declarado culpable
de acceso no autorizado a una computadora con intenciones delictivas y de
chantajear a su empleador.

Un comunicado de prensa publicado ayer por la Unidad Regional contra el Crimen
Organizado del Sureste (SEROCU)
explica que en febrero de 2018, el condenado, Ashley Liles,
trabajaba como analista de seguridad informática en una empresa con sede en
Oxford que sufrió un ataque de ransomware.

Al igual que muchos ataques de ransomware, los actores de la amenaza se
pusieron en contacto con los ejecutivos de la empresa y exigieron el pago de
un rescate. Debido a su función en la empresa, Liles participó en las
investigaciones internas y en el esfuerzo de respuesta a incidentes, que
también contó con el apoyo de otros miembros de la empresa y la policía.

Sin embargo, durante esta fase, se dice que Liles intentó enriquecerse con
el ataque engañando a su empleador para que le pagara un rescate en lugar
del atacante externo original.

Desconocido para la policía, sus colegas y su empleador, Liles inició un
ataque separado y secundario contra la empresa.
«Accedió a los correos electrónicos privados de un miembro de la junta más
de 300 veces, además de alterar el correo electrónico de chantaje original y
cambiar la dirección de pago proporcionada por el atacante original».

El plan era aprovechar la situación y desviar el pago a una billetera de
criptomonedas bajo su control.
«Liles también creó una dirección de correo electrónico casi idéntica a la
del atacante original y comenzó a enviar correos electrónicos a su empleador
para presionarlo a pagar el dinero», explicó SEROCU.

Sin embargo, el propietario de la empresa no estaba interesado en pagar a los
atacantes, y las investigaciones internas que aún estaban en curso en ese
momento revelaron el acceso no autorizado de Liles a correos electrónicos
privados, apuntando a la dirección IP de su casa.

Aunque Liles se dio cuenta de que las investigaciones se habían acercado a él
y había borrado todos los datos de sus dispositivos personales cuando el
equipo de delitos cibernéticos de SEROCU irrumpió en la casa de Liles para
apoderarse de su computadora, aún era posible restaurar los datos
incriminatorios.

Liles inicialmente negó su participación, pero cinco años después, se declaró
culpable durante una audiencia en el Tribunal.

Caso 2 – El programador con permisos

Este caso, se desarrolla desde diciembre de 2020, de la siguiente manera:

• El atacante irrumpió en la red de la organización a través de un agujero de
  seguridad desconocido.
• El atacante adquirió privilegios de administrador en la red.
• El atacante robó gigabytes de datos confidenciales.
• El atacante borró los logs del sistema para cubrir sus huellas.
• El atacante exigió 50 Bitcoins (entonces con un valor aproximado de U$S
  2.000.000) para silenciar las cosas.
• El atacante realizó doxxing de la víctima cuando no pagó el
  chantaje.

Doxxing, si no está familiarizado con el término, es una jerga
abreviada para divulgar deliberadamente documentos sobre una persona o empresa
para ponerlos en riesgo de sufrir daños físicos, financieros o de otro tipo.
Cuando los ciberdelincuentes «doxean» a personas que no les gustan o
con las que tienen una cuenta que quieren saldar, la idea suele ser poner a la
víctima en riesgo (o al menos temerla) de un ataque físico, por ejemplo,
acusándola de un crimen atroz, deseándoles justicia vigilante y luego
diciéndoles a todos dónde viven.

Cuando la víctima es una «compañía», la intención delictiva suele ser crear
estrés operativo, reputacional, financiero o regulatorio para la víctima no
solo al exponer que la empresa sufrió una infracción en primer lugar, sino
también al divulgar deliberadamente información confidencial que otros
delincuentes pueden abusar de inmediato.

La buena noticia en este caso es que la víctima no era tan crédula como
parecía pensar el criminal. La «compañía» rápidamente sospechó de un trabajo
interno.

Tres meses después del comienzo del ataque, el FBI había allanado la casa del
futuro ex-programador senior Nickolas Sharp, entonces de unos 30 años,
sospechando que él era el perpetrador. De hecho, Sharp, en su calidad de desarrollador en la empresa,
aparentemente estaba «ayudando» (aquí usamos el término vagamente) a
«remediar» (ídem) su propio ataque diario, mientras intentaba extorsionar a la
empresa por la noche.

Como parte de la redada, los policías incautaron varios dispositivos
informáticos, incluida la que resultó ser la computadora portátil que Sharp
usó cuando atacó a su propio empleador. Varios días después de que el FBI
ejecutara la orden de allanamiento en su residencia, hizo que se publicaran
noticias falsas sobre el incidente, para dañar la reputación de su empleador.

Casi inmediatamente después de que se supo la noticia sobre la violación de
datos, el precio de las acciones de
Ubiquiti (la famosa compañía mencionada)
cayó repentinamente de alrededor de $390 a alrededor de $280.

Sharp se declaró culpable en febrero de 2023; fue sentenciado esta semana a
pasar seis años en prisión seguidos de tres años en libertad condicional, y se
le ordenó pagar una restitución de poco más de U$S 1.500.000.

Fuentes:
BC
|
Naked Security

Source: Seguridad Informatica

{$excerpt:n}