Dentro de la lucha contra los piratas informáticos que atacaron hospitales y pusieron vidas en peligro

Después de engañar a un empleado con un correo electrónico de phishing y una hoja de cálculo envenenada, los piratas informáticos utilizaron la computadora infectada del empleado para ingresar al sistema de salud pública de Irlanda y atravesar la red durante semanas. Recorrieron de hospital en hospital, examinaron carpetas, abrieron archivos privados y propagaron la infección a miles de otras computadoras y servidores.

Cuando pidieron el rescate, habían secuestrado más del 80% del sistema de TI, para obligar a la organización de más de 100 mil personas a desconectarse y poner en peligro la vida de miles de pacientes.

Los atacantes desataron el asalto de 2021 al Ejecutivo del Servicio de Salud de Irlanda (HSE, por sus siglas en inglés) con la ayuda de una versión heredada «pirateada» o abusada y no autorizada de una poderosa herramienta. Utilizada por profesionales de seguridad legítimos para simular ataques cibernéticos en pruebas de defensa, la herramienta también se ha convertido en el instrumento favorito de los delincuentes que roban y manipulan versiones anteriores para lanzar ataques de ransomware en todo el mundo. En los últimos dos años, los piratas informáticos han utilizado copias descifradas de la herramienta, Cobalt Strike, para intentar infectar a cerca de 1,5 millones de dispositivos.

Pero Microsoft y Fortra, el propietario de la herramienta, ahora cuentan con una orden judicial que les autoriza a incautar y bloquear la infraestructura vinculada a las versiones descifradas del software. La orden también permite a Microsoft interrumpir la infraestructura asociada con el abuso de su código de software, que los delincuentes han utilizado para desactivar los sistemas antivirus en algunos de los ataques. Desde que se ejecutó la orden en abril, la cantidad de direcciones IP infectadas se ha desplomado.

“El mensaje que queremos enviar en casos como estos es: ‘Si crees que va a salirte con la tuya al convertir nuestros productos en armas, te encontrarás con un duro despertar’”, dice Richard Boscovich, asesor general adjunto de la Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft y jefe del equipo de Análisis e Interrupción de Malware de la unidad.

El esfuerzo por eliminar el Cobalt Strike descifrado sin conexión, comenzó en 2021 cuando la DCU, un grupo global ecléctico de luchadores contra el ciberdelito, quería hacer una mella más grande en el aumento de los ataques de ransomware. Las operaciones anteriores se habían dirigido a botnets individuales como Trickbot y Necurs por separado, pero el investigador de ransomware Jason Lyons propuso una operación importante dirigida a muchos grupos de malware y se centró en lo que tenían en común: el uso de Cobalt Strike pirateado y heredado.

«Vemos a Cobalt Strike pirateado como la herramienta intermedia que se aprovecha en los ataques de ransomware», dice Lyons, quien basó sus evaluaciones en la inteligencia interna de los ataques a los clientes de Windows.

Lyons, ex agente especial de contrainteligencia del Ejército de EE. UU., había pasado muchas noches y fines de semana en responder a eventos y brechas de ransomware. La oportunidad de perseguir a muchos delincuentes a la vez era una forma de «traer un poco de dolor a los malos e interrumpir sus noches y fines de semana también», dice.

Pero antes de que Microsoft pudiera comenzar a infligir dolor, primero necesitaba limpiar su propia casa y deshacerse de Azure del Cobalt Strike pirateado. Rodel Finones, un ingeniero inverso que deconstruye y analiza malware, se puso a trabajar de inmediato. Se había mudado a DCU desde el equipo antivirus de Microsoft Defender hace unos años para asumir un papel más proactivo en la lucha contra el crimen.

Finones creó un rastreador que se conectaba a todos los servidores de comando y control de Cobalt Strike abiertos al público en Azure y, más tarde, a Internet. Los servidores se comunican con los dispositivos infectados y permiten a los operadores espiar una red, moverse de manera lateral y cifrar archivos. También comenzó a investigar cómo los operadores de ransomware abusaban del software de Microsoft en sus ataques.

Pero gatear no fue suficiente. Los investigadores enfrentaron el desafío de cómo distinguir entre los usos de seguridad válidos de Cobalt Strike y los usos ilícitos por parte de los actores de amenazas. Fortra emite un número de licencia único, o marca de agua, para cada kit de Cobalt Strike que vende, lo que proporciona una pista forense en copias descifradas. Pero la empresa no formó parte de la operación inicial y los investigadores de la DCU trabajaron solos para crear un catálogo interno de marcas de agua vinculadas a los ataques de los clientes mientras limpiaban Azure.

Mientras tanto, Fortra, que había adquirido Cobalt Strike en 2020, también trabajaba en el problema de los delincuentes que usan copias descifradas. Cuando Microsoft propuso una operación conjunta, la empresa necesitaba tiempo para asegurarse de que asociarse con Microsoft fuera la decisión correcta, dice Bob Erdman, vicepresidente asociado de Investigación y Desarrollo de Fortra.

En algún momento, Microsoft intentó comprar una copia de Cobalt Strike para ayudar a los investigadores a comprender la herramienta. Fortra dijo que no.

“Hoy, la vemos como una historia interesante y divertida, pero no sabíamos si Fortra se iba a asociar con nosotros”, dice Lyons.

“No vendemos a cualquiera que lo quiera”, dijo Erdman en respuesta.

Fortra se unió a la acción a principios de 2023 y proporcionó una lista de más de 200 marcas de agua «ilegítimas» vinculadas a 3,500 servidores Cobalt Strike no autorizados. La empresa realizaba sus propias investigaciones y agregaba nuevos controles de seguridad, pero asociarse con Microsoft proporcionó acceso a escala, experiencia adicional y otra forma de proteger su herramienta e Internet. En el transcurso de la investigación, Fortra y Microsoft analizaron cerca de 50 mil copias únicas de Cobalt Strike descifrado.

“En verdad fue una muy buena partida para nosotros dos”, dice Erdman. “Es una excelente manera de asociarse donde todos son más fuertes cuando trabajan juntos”.

La asociación también fue una victoria para Microsoft, ya que la información y la lista de marcas de agua de Fortra ampliaron de manera importante el alcance de la operación. Ayudó a las empresas con su demanda que vinculaba la infraestructura maliciosa con 16 acusados no identificados, cada uno de ellos un grupo de amenazas distinto.

Los abogados argumentaron que los grupos (desarrolladores de ransomware, extorsionadores, señuelos de víctimas, vendedores pirateados de Cobalt Strike) trabajaron juntos en una bulliciosa y lucrativa empresa de ransomware como servicio, diseñada para maximizar las ganancias y los daños. También vincularon Cobalt Strike pirateado con ocho familias de ransomware, que van desde LockBit, un atacante de encriptación rápida y denegación de servicio, hasta Conti, el malware sospechoso de los devastadores ataques de 2022 contra el gobierno de Costa Rica.

Conti también fue sospechoso en el ataque de Irlanda, cuyos detalles provienen de un informe posterior al incidente encargado por Ireland HSE. La transparencia y la voluntad de HSE de compartir lo aprendido ha ayudado a otras organizaciones a fortalecer sus defensas contra los ataques cibernéticos.

Muchas víctimas atacadas con Cobalt Strike pirateado han sido organizaciones de atención médica obligadas a cancelar cirugías, desviar ambulancias y retrasar el tratamiento. Esa tendencia llevó a Health-ISAC, una asociación de intercambio de información sobre amenazas cibernéticas de 800 organizaciones de salud, a unirse a la demanda como co-demandante.

“Hablamos de que la vida de las personas está en juego”, dice Errol Weiss, director de seguridad de Health-ISAC.

Mientras el equipo preparaba sus argumentos legales, la abogada de la DCU, Mia Scavella-Little, ayudó a los investigadores a escribir sus declaraciones, al aprovechar su experiencia como científica de datos para fusionar el lenguaje técnico y legal. O, como ella dice: «Poner lo ‘geek’ en algo que en realidad hace sentido para los abogados o un juez».

Exanalista de contraterrorismo para el gobierno de los EE. UU. y defensora gratuita, disfrutó de la naturaleza de la operación impulsada por un propósito.

“Mi carrera está enfocada en la misión, así que me gusta ir allí y proteger y salvar, y eso es lo que hace la DCU”, dice ella.

Los abogados argumentaron que Fortra y Microsoft tienen derecho a derribar la infraestructura de Cobalt Strike pirateado porque los grupos de amenazas violaron las leyes de derechos de autor y los términos de servicio. Cuando un juez federal estuvo de acuerdo y firmó una orden de emergencia, el investigador de malware Christopher Coy estaba listo para comenzar.

Había pasado gran parte de su tiempo en la construcción de un sistema automatizado para notificar a los centros de datos y proveedores de alojamiento para eliminar las direcciones IP específicas. Trabajó con registros para apoderarse de dominios. Revisó de manera cuidadosa los criterios para asegurarse de que Microsoft interrumpía las actividades de los actores de amenazas y no las de las víctimas inocentes.

“Una de nuestras principales preocupaciones con todas nuestras operaciones es que queremos eliminar la infraestructura maliciosa”, dice Coy. “No queremos derribar la infraestructura o el negocio legítimo de alguien que ha sido comprometido por el mal actor. Así que pasamos por un proceso bastante riguroso”.

El impacto ha sido rápido y prometedor, con todos los dominios .com y .net maliciosos incautados dentro de las 24 horas posteriores a la orden del juez. Microsoft incautó y “puso en un sumidero” un total de 153 dominios de EE. UU. y el tráfico de víctimas ahora se dirige a las computadoras de la empresa y se aleja de los operadores criminales. Y envió avisos a terceros para eliminar más de 1,900 direcciones IP globales.

La cantidad de servidores Cobalt Strike pirateados detectados por día (casi mil cuando comenzó la operación) se redujo en un 25% a nivel mundial y en un 50% en los EE. UU. La cantidad de direcciones IP de víctimas infectadas por servidores maliciosos en dominios incautados se redujo en alrededor de dos tercios, según datos del Programa de Inteligencia de Amenazas Cibernéticas de Microsoft. El trabajo ha dado lugar a referencias penales, ayuda para la recuperación de las víctimas, seguimiento continuo y más acciones legales.

Los actores de amenazas ya se han comenzado a adaptar, alejándose de los EE. UU., donde los terceros responden de manera rápida a los avisos de infracción de derechos de autor, y reubican servidores en China y Rusia.

“Sabemos que esta será una lucha continua, ya que los delincuentes siempre cambian sus tácticas”, dice Amy Hogan-Burney, quien dirige DCU. “Pero somos persistentes y estamos comprometidos a hacer esto todo el tiempo que sea necesario”.

El objetivo es que los ataques disminuyan, ya que a los delincuentes les resulta más difícil ganar dinero con menos acceso a herramientas eficientes como Cobalt Strike y las API de Microsoft.

“Los ciberdelincuentes son, desde una perspectiva muy rudimentaria, también empresarios”, dice Boscovich. «Dicen: ‘No vale la pena instalar nada aquí porque dentro de dos o tres días, se desmonta'».

Boscovich, exfiscal federal, se unió a DCU cuando comenzó en 2008 y pronto desarrolló lo que se convertiría en la estrategia legal general de Microsoft para combatir el malware. Ha dirigido 27 operaciones de malware en los últimos 15 años y está refina de manera continua las estrategias de la empresa. Este año, por primera vez, aprovechó una ley contra el crimen organizado contra múltiples grupos criminales para maximizar el impacto.