El atacante que hackeó el servidor de la Agencia Municipal de Transporte de San Francisco (SFMTA) el pasado viernes e infectó más de 2.000 equipos, fue víctima de un ciberataque cuando un investigador experto en seguridad logró vulnerar la cuenta de correo electrónico dejada para contacto por el criminal adivinando su contraseña. Y posteriormente, notando que la dirección de correo de respaldo de “cryptom27@yandex.com” tenía la misma clave y pregunta secreta, logró hackear la bandeja de entrada del atacante.

El hacker, que solicitaba 100 BTC para enviar el código que eliminaría los datos sobrescritos en las unidades cifradas del SFMTA, parecía no tener una contraseña muy segura para su cuenta de correo, pues una fuente del portal dedicado a escribir de seguridad Krebson Security, (que prefirió mantenerse anónima) pudo adivinar cuál era la clave del atacante luego de leer las noticias del incidente del metro de San Francisco.

Según la información revelada por la fuente y comprobada por el portal, en la bandeja de entrada del cibercriminal se encontraron varios detalles que revelaron el modus operandi del extorsionador e información de sus víctimas anteriores.

Entre los hallazgos hechos por el hacker de “sombrero blanco”, es decir, el investigador, se encuentra el correo que el atacante envió el viernes 25 de noviembre, día en el que ocurrió el ataque a la red del SDMTA, destinado a Sean Cunningham, gerente de Infraestructura de Muni, como es conocido el metro de San Francisco. Dicho correo sería el primer contacto del criminal y estaría firmado bajo el alias “Andy Saolis”.

Si usted es el responsable del ferrocarril Muni ¡Todas sus computadoras y servidores de Muni han sido cifrados por AES2048 bit! Tenemos 2000 claves de descifrados Envíe 100 BTC a mi cartera de bitcoins, entonces le enviaremos la clave de descifrado para el disco duro de todos sus servidores. Andy Saolis

cryptom27@yandox.com

Mensaje del Hacker al SMFTA

Con respecto a este correo el portavoz de Muni, Paul Rose, declaró que no iban a ceder ante las demandas del hacker pagando el rescate, ya que cuentan con un “equipo de tecnología de información que puede restaurar los sistemas”.

Una práctica común para el hacker

Al parecer este ciber-criminal ha estado operando desde agosto con virus de tipo HDD Cryptor y ha conseguido amasar unos 140.000 dólares producto de extorsiones, los cuales han sido cobrados en múltiples carteras y para evitar el rastreo de las transacciones, estos son movidos cada pocos días.

El último ataque perpetuado antes del de “Muni” fue para una empresa manufacturera ubicada en Estados Unidos, a la que le cobró unos 63 BTC (casi 45 mil dólares) por devolverles el control de sus servidores. Un proceso de hackeo que tuvo lugar tan solo cinco días antes del ataque al subterráneo de San Francisco.

Asimismo, en la bandeja de correos se ubicó la cuenta de correo electrónico usada por este hacker antes de emplear la ya mencionada “cryptom27@yandex.com”.

Durante los meses de agosto y septiembre el criminal que firmó como “Andy Saolis” utilizó la dirección w889901665@yandex.com e hizo uso de la misma para enviar mensajes en foros de ayuda técnica a victimas de ataques con ransomware, como los que él usa para vulnerar compañías y organizaciones.

Otro dato importante confirmado por el responsable de hackeo de esta cuenta de correo, es relativo a la pregunta de muchos medios: ¿el ataque a la Agencia de Transporte Municipal de San Francisco fue intencional o aleatoria como establecía el cibercriminal en uno de sus e-mail?

La respuesta es que este hacker “black hat” decía la verdad, el ataque fue completamente aleatorio. Esto está relacionado directamente con su modus operandi, pues según Alex Holden de la compañía de seguridad Hold Security, el atacante utiliza una serie de herramientas que permiten escanear e identificar las vulnerabilidades de protocolos de seguridad de las bases de datos Oracle.

Hechos como este dejan clara la eficiencia de los ataques con ransomware en plataformas vulnerables, las cuales tuvieron que recurrir a pagar grandes cantidades de dinero para recuperar sus datos y servidores. Por otra parte, SMFTA es un ejemplo de que tener copias de seguridad adecuadas y regulares puede ahorrar problemas de esta índole.

Sin embargo, esto debe funcionar como alerta para los usuarios del sistema de bases de datos de Windows y Oracle. Ya que quedó comprobado que existen, como en este caso, diversas personas dedicadas a identificar los puntos blandos del sistema para atacarlo.

Es hora de blindar las bases de datos y para esto se deben conocer los nuevos paradigmas de seguridad ofrecidos por tecnologías basadas en contabilidad distribuida y nodos segmentados, que garantizan menos posibilidad de dar acceso masivo a la información en caso de un ataque.