Cuentos de ransomware: el ataque MitM que realmente tuvo un hombre en el medio

Cuentos de ransomware: el ataque MitM que realmente tuvo un hombre en el medio

Sello de tiempo: 24 de mayo de 2023 1:59 p.m.
Nodo de origen: 2674840
by

Han pasado más de cinco años para que se haga justicia en este caso, pero la policía y los tribunales Llegamos allí En el final.

La oficina de aplicación de la ley del Reino Unido SEROCU, abreviatura de Unidad de Crimen Organizado Regional del Sureste, esta semana informó el cuento peculiar de Ashley Liles, el hombre literal en el medio al que nos referimos en el titular.

En estos días, generalmente ampliamos el término de la jerga MitM significar manipulador en el medio, no solo para evitar el término de género "hombre", sino también porque muchos, si no la mayoría, de los ataques MitM en estos días son realizados por máquinas.

Algunos técnicos incluso han adoptado el nombre Máquina en el medio, pero preferimos "manipulador" porque creemos que describe de manera útil cómo funciona este tipo de ataque y porque (como muestra esta historia) a veces realmente es un hombre, y no una máquina, el que está en el medio.

MitM explicado

Un ataque MitM depende de que alguien o algo pueda interceptar los mensajes que se le envían y modificarlos en el camino para engañarlo.

El atacante generalmente también modifica sus respuestas al remitente original, para que no detecten el engaño y se dejen atrapar por el engaño junto con usted.

Como puede imaginar, la criptografía es una forma de evitar los ataques MitM, la idea es que si los datos se cifran antes de enviarlos, entonces quienquiera que esté en el medio no podrá entenderlo.

El atacante no solo necesitaría descifrar los mensajes de cada extremo para averiguar qué significan, sino también volver a cifrar correctamente los mensajes modificados antes de pasarlos, para evitar la detección y mantener la traición.

Una historia clásica y fatal de MitM se remonta a fines de la década de 1580, cuando los espías de la reina Isabel I de Inglaterra pudieron interceptar y manipular la correspondencia secreta de María, reina de Escocia.

Mary, que era prima de Isabel y archirrival política, estaba en ese momento bajo estricto arresto domiciliario; aparentemente, sus mensajes secretos entraban y salían de contrabando en barriles de cerveza entregados en el castillo donde estaba detenida.

Fatalmente para Mary, los espías de la reina Bess no solo pudieron interceptar y leer los mensajes de Mary, sino también enviar respuestas falsificadas que atrajeron a Mary para que pusiera suficientes detalles por escrito para cocinar su propio ganso, por así decirlo, revelando que ella estaba al tanto de, y apoyó activamente un complot para asesinar a Isabel.

María fue sentenciada a muerte y ejecutada en 1587.

Avance rápido a 2018

Esta vez, afortunadamente, no hubo planes de asesinato, e Inglaterra abolió la pena de muerte en 1998.

Pero este crimen de interceptación de mensajes del siglo XXI fue tan audaz y tortuoso como simple.

Un negocio en Oxford, Inglaterra, justo al norte de Sophos (estamos a 15 km río abajo en Abingdon-on-Thames, en caso de que se lo pregunte) fue atacado por ransomware en 2018.

Para 2018, ya habíamos entrado en la era contemporánea del ransomware, en la que los delincuentes irrumpen y chantajean a empresas enteras a la vez, pidiendo enormes sumas de dinero, en lugar de perseguir a decenas de miles de propietarios de computadoras individuales por $300 cada uno.

Fue entonces cuando el perpetrador ahora condenado pasó de ser un administrador de sistemas en el negocio afectado a un ciberdelincuente Man-in-the-Middle.

Mientras trabajaba con la empresa y la policía para lidiar con el ataque, el perpetrador, Ashely Liles, de 28 años, se volvió contra sus colegas al:

  • Modificando los mensajes de correo electrónico de los delincuentes originales a sus jefes y editando las direcciones de Bitcoin enumeradas para el pago del chantaje. Por lo tanto, Liles esperaba interceptar cualquier pago que pudiera hacerse.
  • Falsificar mensajes de los delincuentes originales para aumentar la presión para pagar. Suponemos que Liles usó su conocimiento interno para crear los peores escenarios que serían más creíbles que cualquier amenaza que los atacantes originales pudieran haber ideado.

No está claro en el informe policial exactamente cómo Liles pretendía cobrar.

¿Quizás simplemente tenía la intención de fugarse con todo el dinero y luego actuar como si el ladrón de cifrado se hubiera dado a la fuga y se hubiera fugado con las criptomonedas?

Tal vez agregó su propio recargo a la tarifa y trató de negociar la demanda de los atacantes a la baja, con la esperanza de obtener un día de pago masivo para sí mismo y, sin embargo, adquirir la clave de descifrado, convirtiéndose en un héroe en el proceso de "recuperación" y, por lo tanto, desviando las sospechas. ?

La falla en el plan

Dio la casualidad de que el cobarde plan de Liles se arruinó por dos cosas: la empresa no pagó, por lo que no había Bitcoins para interceptar, y su manipulación no autorizada en el sistema de correo electrónico de la empresa apareció en los registros del sistema.

La policía arrestó a Liles y registró su equipo informático en busca de evidencia, solo para descubrir que había limpiado sus computadoras, su teléfono y un montón de unidades USB unos días antes.

Sin embargo, la policía recuperó datos de los dispositivos no tan vacíos como pensaba de Liles, vinculándolo directamente a lo que se puede considerar como una doble extorsión: tratar de estafar a su empleador y, al mismo tiempo, estafar a los estafadores que ya estaban estafando a su empleador.

Curiosamente, este caso se prolongó durante cinco años, con Liles manteniendo su inocencia hasta que repentinamente decidió declararse culpable en una audiencia judicial el 2023-05-17.

(Declararse culpable gana una sentencia reducida, aunque según las regulaciones actuales, la cantidad de "descuento", como se le conoce de manera bastante extraña pero oficial en Inglaterra, disminuye cuanto más tiempo aguanta el acusado antes de admitir que lo hizo).

¿Qué hacer?

Este es el segunda amenaza interna hemos escrito sobre este mes, así que repetiremos el consejo que dimos antes:

  • Divide y conquistaras. Trate de evitar situaciones en las que los administradores de sistemas individuales tengan acceso ilimitado a todo. Esto hace que sea más difícil para los empleados deshonestos inventar y ejecutar delitos cibernéticos "internos" sin cooptar a otras personas en sus planes y, por lo tanto, correr el riesgo de una exposición temprana.
  • Mantenga registros inmutables. En este caso, Liles aparentemente no pudo eliminar la evidencia que mostraba que alguien había manipulado el correo electrónico de otras personas, lo que condujo a su arresto. Haga que sea lo más difícil posible para cualquier persona, ya sea interna o externa, manipular su historial cibernético oficial.
  • Mide siempre, nunca asumas. Obtenga una confirmación independiente y objetiva de los reclamos de seguridad. La gran mayoría de los administradores de sistemas son honestos, a diferencia de Ashley Liles, pero pocos de ellos son 100% correctos todo el tiempo.

    SIEMPRE MIDA, NUNCA ASUMA

    ¿Le falta tiempo o experiencia para encargarse de la respuesta a amenazas de ciberseguridad?
    ¿Le preocupa que la seguridad cibernética termine distrayéndolo de todas las otras cosas que debe hacer?

    Eche un vistazo a la detección y respuesta gestionadas de Sophos:
    Búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana  ▶

    MÁS INFORMACIÓN SOBRE RESPONDER A LOS ATAQUES

    ¡Una vez más a la brecha, queridos amigos, una vez más!

    Peter Mackenzie, Director de Respuesta a Incidentes de Sophos, habla sobre la lucha contra el ciberdelito en la vida real en una sesión que lo alarmará, entretendrá y educará, todo en igual medida. (Transcripción completa disponible.)

    Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Sello de tiempo:

Mas de Seguridad desnuda