El lunes por la tarde, el Departamento de Justicia de EE. UU. Dijo que había incautado gran parte del rescate de criptomonedas que el operador de gasoductos de EE. UU. Colonial Pipeline pagó el mes pasado a un colectivo de piratería ruso llamado DarkSide al rastrear el pago a medida que pasaba por diferentes cuentas que pertenecen al grupo de piratería. y finalmente irrumpir en una de esas cuentas con la bendición de un juez federal.

Es un giro bienvenido a una saga que comenzó con un ataque cibernético a Colonial y resultó en una escasez de combustible agravada por la compra de gasolina por pánico el mes pasado después de que Colonial cerró uno de sus principales oleoductos (y luego sufrió un segundo cierre de oleoducto debido a lo que describió como un servidor interno sobrecargado). Pero Christopher Alhberg, un exitoso emprendedor en serie y fundador de Recorded Future, una firma de inteligencia de seguridad que rastrea las amenazas al gobierno y las empresas y administra su propio brazo de medios, sugiere que los estadounidenses han sobrevalorado a DarkSide desde el principio. Explicó mucho sobre cómo funcionan sus operaciones la semana pasada en una entrevista que puede escuchar aquí. Siguen extractos más breves de esa conversación, editados ligeramente para ampliar.

TC: Básicamente, ¿cómo funciona tu tecnología?

CA: Lo que estamos haciendo es intentar indexar Internet. Intentamos obstaculizar los datos de todo lo que está escrito en Internet, hasta los electrones en movimiento, e intentamos indexarlos de tal manera que puedan ser utilizados por personas que defienden empresas y organizaciones. . . Estamos tratando de meternos en la cabeza de los malos, llegar a donde se juntan los malos y descubrir ese lado de la ecuación. Estamos tratando de averiguar qué está pasando en las redes donde operan los malos, donde realizan sus cosas, donde básicamente transmiten datos, donde ejecutan la infraestructura ilícita, todas esas cosas. Y también tratamos de evitar las huellas que dejan los malos, que pueden estar en todo tipo de lugares interesantes.

TC: ¿Quiénes son sus clientes?

CA: Tenemos alrededor de 1,000 en total, y van desde el Departamento de Defensa hasta algunas de las empresas más grandes del mundo. Probablemente un tercio de nuestra actividad es [with the] gobierno, un tercio de nuestras empresas están en el sector financiero, luego el resto [comprise] un montón de verticales, incluido el transporte, que ha sido importante.

LEER  Startup de inteligencia artificial ocho veces valorada en $ 2.1 mil millones gracias a una financiación de $ 220 millones liderada por SoftBank - TechCrunch

TC: ¿Les ayudas a predecir ataques o a entender qué sucedió en los casos en los que ya es demasiado tarde?

CA: Puede ir en ambos sentidos.

TC: ¿Cuáles son las pistas que arrojan luz sobre tu trabajo?

CA: El primero es comprender al adversario, a los malos, y en gran medida se dividen en dos categorías: hay ciberdelincuentes y agencias de inteligencia opuestas.

Los delincuentes en los últimos dos meses en los que el mundo y nosotros también nos hemos centrado son estas bandas de ransomware. Así que estas son pandillas rusas, y cuando escuchas “pandillas” la gente tiende a pensar en grandes grupos de personas. [but] suele ser un chico o dos o tres. Así que no sobrestimaría el tamaño de estas pandillas.

[On the other hand] Las agencias de inteligencia pueden estar muy bien equipadas y [involve] grandes grupos de personas. Así que una pieza es seguirlos. Otro elemento se refiere al seguimiento de las redes en las que operan. . Para terminar, [our work involves] Comprender los objetivos, donde obtenemos datos sobre posibles objetivos de un ciberataque sin tener acceso a los sistemas reales en el sitio, y luego unimos los tres compartimentos de forma automatizada.

TC: ¿Ve mucha polinización cruzada entre las agencias de inteligencia y algunos de estos recortes rusos?

CA: La respuesta corta es que, en nuestra opinión, estos grupos no están encargados de tareas diarias, mensuales o incluso anuales por parte de los servicios de inteligencia rusos. Pero en una serie de países alrededor del mundo – Rusia, Irán, Corea del Norte es un poco diferente, hasta cierto punto en China – lo que vimos es que el gobierno alentó a una población cada vez mayor de hackers que pudieron, incontrolablemente, poder para perseguir su interés, en Rusia, en gran parte, en el ciberdelito. Luego, con el tiempo, verá que las agencias de inteligencia en Rusia (FSB, SVR y GRU) pueden robar a personas de estos grupos o cobrarles. Puede encontrar en los documentos oficiales cómo estos tipos se mezclaron y emparejaron durante un largo período de tiempo.

LEER  El Fiscal General de DC presenta una acción antimonopolio contra Amazon por acuerdos con vendedores externos - TechCrunch

TC: ¿Qué pensaste cuando DarkSide salió poco después del ciberataque y dijo que ya no podía acceder a su servidor de Bitcoin o de pago y que se estaba cerrando?

CA: Si hiciste este truco, probablemente no sabías qué era realmente Colonial Pipeline cuando lo hiciste. Es como, ‘Oh, mierda, estoy en todos los periódicos estadounidenses’. Y probablemente hay algunas llamadas telefónicas que comienzan a llegar a Rusia, donde básicamente, nuevamente, “¿Qué acabas de hacer?” ¿Cómo vas a intentar ocultar esto?

Una de las primeras cosas más simples que vas a hacer es decir: “No fui yo” o intentarás decir: “Perdimos el dinero; hemos perdido el acceso a nuestros servidores ‘. Así que creo que probablemente todo fue falso [and that] lo que estaban haciendo era solo tratar de cubrir sus huellas, [given that] los encontramos más tarde volviendo y tratando de hacer otras cosas. Creo que sobrestimamos la capacidad del gobierno de EE. UU. Para volver rápidamente a estos tipos. Simplemente no sucederá tan rápido, aunque es puro conjuro. No digo eso con acceso a información gubernamental interna ni nada por el estilo.

TC: Estaba leyendo que DarkSide opera como una franquicia donde los piratas informáticos individuales pueden venir y recibir software y usarlo como un proceso llave en mano. ¿Es esto nuevo y eso significa que abre la piratería a más personas?

Eso es verdad. Una de las bellezas del hacker clandestino ruso es su naturaleza distribuida. Digo “belleza” con un poco de sarcasmo, pero algunas personas escribirán el verdadero ransomware. Algunos usarán los servicios proporcionados por estos tipos y luego serán los que podrían piratear los sistemas. Otras personas podrían ser las que manejen las transacciones de Bitcoin a través de la caída de Bitcoin que se necesita. . . Uno de los puntos interesantes es que para sacar dinero al final del juego, estos tipos tienen que pasar por uno de esos intercambios que terminaron siendo negocios más civilizados, y podría haber mulas de dinero involucradas, y hay gente que maneja las mulas del dinero. Muchos de estos tipos están cometiendo fraude con tarjetas de crédito; También hay una gran cantidad de servicios que incluyen probar la validez de una tarjeta y la capacidad de determinar cómo ganar dinero con ella. Probablemente haya 10, 15, tal vez 20 tipos diferentes de servicios involucrados en esto. Y todos son muy especializados, que es una gran parte de por qué estos muchachos pudieron tener tanto éxito y también por qué es difícil ir.

LEER  Vitosha Venture Partners lanza un fondo de $ 30 millones para apoyar las empresas emergentes vinculadas a Bulgaria - TechCrunch

TC: ¿Comparten el botín y, de ser así, cómo?

CA: Lo hacen. Estos tipos ejecutan sistemas bastante eficientes aquí. Obviamente, Bitcoin ha sido un catalizador asombroso en esta área porque hay una forma de realizar pagos. [but] estos tipos tienen sistemas completos de valoración y valoración de sí mismos, muy parecidos a los de un vendedor de eBay. Hay un montón de estos foros clandestinos que históricamente han estado donde estos tipos han operado e incluirán algunos servicios allí para poder decir que alguien es un estafador. [meaning in relation to the] ladrones que se encuentran entre los ciberdelincuentes. Es un poco como Internet. ¿Por qué Internet funciona tan bien? Porque está super distribuido.

TC: ¿Qué recomiendas a quienes no son tus clientes pero quieren defenderse?

CA: Un colega elaboró ​​un gráfico circular para mostrar qué industrias se ven afectadas por el ransomware y lo sorprendente es que estaba súper distribuido en 20 industrias diferentes. Con Colonial Pipeline, mucha gente decía, “Oh, son del petróleo”. Pero a estos chicos no les importa. Solo quieren encontrar el objetivo en movimiento más lento. Así que asegúrese de no ser el objetivo más fácil.

La buena noticia es que hay muchas empresas que hacen lo básico y se aseguran de que sus sistemas estén actualizados. [but also] Presiona ese maldito botón de actualización. Obtenga gran parte de su negocio en Internet para que no mire hacia afuera. Mantenga la menor superficie posible en el mundo exterior. Use buenas contraseñas, use autenticación múltiple de dos factores en cualquier cosa y en todo lo que pueda tener en sus manos.

Hay una lista de verificación de 10 cosas que debe hacer para no ser un objetivo tan fácil. Ahora, para algunos de estos tipos, las pandillas realmente sofisticadas, eso no es suficiente. Necesita trabajar más, pero lo básico marcará una gran diferencia aquí.