La Universidad de California SF paga a los piratas informáticos de ransomware $ 1.14 millones para salvar la investigación


La Universidad de California en San Francisco (UCSF) admitió haber pagado una demanda de rescate parcial de $ 1.14 millones para recuperar archivos bloqueados por una infección de ransomware.

La universidad fue golpeada el 1 de junio, donde se encontró malware en los sistemas de TI de la Facultad de Medicina de la UCSF. Los administradores intentaron rápidamente aislar la infección y aislar varios sistemas que impedían que el ransomware viajara a la purple central de UCSF y causara más daños.

Si bien la escuela dice que el ataque cibernético no afectó «nuestras operaciones de entrega de atención al paciente, la purple general del campus o el trabajo COVID-19», los servidores UCSF utilizados por la escuela de medicina estaban encriptados.

El ransomware puede ser particularmente destructivo ya que una vez que un sistema se ve comprometido, el contenido se cifra y se vuelve inaccesible. Las víctimas se enfrentan a una opción: potencialmente perder sus archivos o pagar una demanda de rescate. Los ciberatacantes a menudo incluirán un límite de tiempo para tomar la decisión de aumentar la presión de pago.

Como se muestra en este caso, las demandas de chantaje pueden llegar a millones de dólares.

«Los atacantes obtuvieron algunos datos como prueba de su acción, para utilizar en su demanda de un pago de rescate», dijo la universidad en un comunicado. «Continuamos nuestra investigación, pero actualmente no creemos que se hayan expuesto los registros médicos de los pacientes».

Ver también: El ransomware WastedLocker exige pagos de millones de dólares

No se recomienda que las víctimas se inclinen ante las demandas de rescate, ya que esto fomenta las empresas criminales. Sin embargo, UCSF dijo que tomó la «difícil decisión de pagar una parte del rescate», ya que parte de la información almacenada en los servidores es «importante para parte del trabajo académico que realizamos como universidad al servicio del bien público».

Se cree que la pandilla Netwalker es la responsable.

La bbc pude seguir la negociación, realizada en la Darkish Internet, entre Netwalker y la universidad. Los actores de la amenaza primero exigieron $ 3 millones, lo que fue contrarrestado por la UCSF con una oferta de $ 780,000, junto con una declaración de que la nueva pandemia de coronavirus había sido «financieramente devastadora» para la institución académica.

Sin embargo, esta oferta fue rechazada, y un intercambio de información eventualmente llevó a la cifra acordada de $ 1,140,895, realizada en Bitcoin (BTC).

A cambio del pago, los actores de la amenaza proporcionaron una herramienta de descifrado y dijeron que eliminarían los datos robados de los servidores.

CNET: Google recopila una cantidad aterradora de datos sobre usted. Puedes encontrarlo y eliminarlo ahora

SophosLabs dice que el Package de herramientas de Netwalker es extenso e incluye el ransomware Netwalker, Zeppelin y Smaug, herramientas de reconocimiento basadas en Home windows y computer software de credenciales de fuerza bruta.

Los investigadores dicen que este grupo tiende a centrarse en grandes organizaciones en lugar de objetivos individuales. En ataques anteriores, Netwalker ha dirigido sistemas a través de vulnerabilidades conocidas y públicas o mediante el relleno de credenciales en máquinas con servicios de escritorio remoto habilitados.

TechRepublic: ¿Qué es Gaia-X? Una guía para el plan de lucha contra la computación en la nube de Europa

UCSF recurrió a consultores de ciberseguridad para investigar el incidente y actualmente está trabajando con el FBI. Al momento de escribir, los servidores aún están inactivos.

«Continuamos cooperando con la policía, y apreciamos que todos comprendan que estamos limitados en lo que podemos compartir mientras continuamos con nuestra investigación», agregó la universidad.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary