Agencia de viajes paga un rescate de US$4.5 millones a ciberdelincuentes

La agencia de viajes estadounidense CWT pagó US$4.5 millones a piratas informáticos que robaron una gran cantidad de archivos corporativos confidenciales y dijeron que habían desconectado 30.000 computadoras.

Los atacantes utilizaron una variedad de ransomware llamada Ragnar Locker, que encripta los archivos de la computadora y los deja inutilizables hasta que la víctima paga por el acceso para restaurarlos.

Las negociaciones subsiguientes entre los piratas informáticos y un representante de CWT permanecieron accesibles públicamente en un grupo de chat en línea.

CWT, que registró ingresos de 1.500 millones de dólares el año pasado y dice que representa más de un tercio de las compañías en el índice bursátil estadounidense S&P 500, confirmó el ataque, pero se negó a comentar los detalles de lo que dijo que era una investigación en curso.

«Podemos confirmar que después de apagar temporalmente nuestros sistemas como medida de precaución, nuestros sistemas están nuevamente en línea y el incidente ha cesado», dijo en un comunicado.

«Si bien la investigación se encuentra en una etapa temprana, no tenemos indicios de que la información de identificación personal / información del cliente y del viajero haya sido comprometida».

CWT dijo que había informado de inmediato a las autoridades policiales estadounidenses y a las autoridades europeas de protección de datos.

Una persona familiarizada con la investigación dijo que la compañía creía que la cantidad de computadoras infectadas era considerablemente menor que las 30.000 que los hackers le dijeron a CWT que habían infectado.

Nota de Rescate: Un largo diálogo

Los ciberdelincuentes inicialmente exigieron un pago de US 10 millones para restaurar los archivos de CWT y eliminar todos los datos robados, «probablemente sea mucho más barato que los gastos judiciales (sic), la pérdida de reputación causada por la fuga», escribieron los atacantes el 27 de julio.

Lo interesante de esta situación probablemente no sea el ataque de ransomware como tal, sino cómo se desarrolló un largo diálogo entre los ciberatacantes y la compañía afectada, y para nada violento o alterado, por el contrario, ambas partes conversaron cordialmente hasta llegar a un acuerdo.

El representante de CWT en las negociaciones, quien dijo que estaban actuando en nombre del director financiero de la empresa, puso en énfasis que la compañía había sido gravemente afectada por la pandemia de COVID-19 y luego de regatear acordaron pagar US$4.5 millones en la moneda digital bitcoin.

“Está bien, hagamos que esto avance. ¿Cuáles son los siguientes pasos?» dijo el representante después de aceptar el rescate.

Un libro público de pagos en moneda digital, conocido como blockchain, muestra que una billetera en línea controlada por los piratas informáticos recibió el pago solicitado de 414 bitcoins el 28 de julio. Luego los ciberdelincuentes enviaron una serie de recomendaciones.

Los mensajes enviados a las direcciones de correo electrónico utilizadas por los piratas informáticos quedaron sin respuesta.

En una nota de rescate dejada en computadoras CWT infectadas y capturas de pantalla publicadas en línea, los piratas informáticos afirmaron haber robado dos terabytes de archivos, incluidos informes financieros, documentos de seguridad y datos personales de los empleados, como direcciones de correo electrónico e información salarial.

Y como todos adoran los finales felices, el diálogo terminó de la mejor manera.