La Universidad dijo que los datos cifrados en el ataque (atribuido a la familia de software de rescate Netwalker) eran “importantes para algunos de los trabajos académicos que llevamos a cabo como universidad al servicio del bien público”, añadiendo que “Por lo tanto, tomamos la difícil decisión de pagar por una herramienta para desbloquear los datos encriptados y la devolución de los datos que obtuvieron”.
La Universidad, que tiene 10 campus en California, fue blanco de un ataqued de ransomware el 1 de junio. Dijo que había “aislado con éxito el incidente del núcleo de la red de la UCSF. Creemos que el malware encriptó nuestros servidores de forma oportunista; es decir, sin que ninguna zona en particular hubiera sido el blanco”.
Según Bloomberg, esta universidad, que cuenta con un presupuesto operativo de 39.800 millones de dólares en 2019-20, estaba llevando a cabo ensayos clínicos de posibles tratamientos para COVID-19, así como pruebas de anticuerpos contra el coronavirus. No quedó claro inmediatamente si los servidores relacionados con este trabajo fueron afectados por el ataque.
Tampoco se sabe con certeza cómo los actores de la campaña de ransomware Netwalker lograron intervenir las redes en cuestión, comenta la empresa de seguridad informática Sophos, que dice haber “tropezado con un caché de herramientas utilizadas por los ciberdelincuentes a finales de mayo”. Según Sophos, hay indicios de que explotaron vulnerabilidades bien conocidas y muy publicitadas en programas de servidor muy utilizados y anticuados (como Tomcat o Weblogic) o de contraseñas RDP débiles.
Rescate de la Universidad de California
Sophos señala que Netwalker emplea un “conjunto completo de herramientas que permiten realizar reconocimientos en redes específicas; usurpación de privilegios y otras exploraciones… sumado a utilidades que pueden robar, olfatear o forzar bruscamente el acceso a información valiosa (incluyendo Mimikatz, y variantes llamadas Mimidogz y Mimikittenz, diseñadas para evitar la detección por parte de la seguridad de los endpoints)”.
En un archivo de herramientas dejado en un servidor utilizado por el grupo, Sophos también encontró “una serie de utilidades creadas por los proveedores de seguridad de endpoints que están diseñadas para eliminar sus herramientas de seguridad de endpoints y antivirus (y las de otras empresas)”.
Es inusual que una organización admita públicamente haber pagado un rescate. En tal sentido, los profesionales de la seguridad suelen advertir que tales admisiones pueden exponer a las instituciones a nuevos ataques.
La UCSF finalizó señalando que “los atacantes obtuvieron algunos datos como prueba de su acción, para usarlos en su demanda de pago de un rescate. Seguimos investigando, pero no creemos actualmente que los registros médicos de los pacientes hayan sido expuestos. A medida que se conozcan más datos, proporcionaremos más actualizaciones. Seguimos cooperando con las fuerzas del orden, y apreciamos que todos entiendan que estamos limitados en lo que podemos compartir”.
Ilustración: Lewis Ngugi vía Unsplash
