Hace ya cinco años, cuando comenzaba el auge de los ataques de ransomware, investigadores de Google y de las universidades de Nueva York y San Diego decidieron seguir el rastro del dinero de los rescates pagados por algunas de las empresas afectadas.

El objetivo de su estudio era echar un vistazo al ecosistema creado en torno a esta forma de cibercrimen. El resultado fue chocante: descubrieron que los grupos de crackers que venían usando malware como Locky y Cerber en sus ataques habían empezado a tomar nota del funcionamiento de las grandes empresas tecnológicas.

Y entre los cambios introducidos destacaba el tratamiento de sus víctimas como ‘clientes’, para lo cual llegaba a dotarse de personal de atención al ídem, para dar soporte en caso de problemas con la puesta en marcha de su ‘producto’. Por supuesto, el funcionamiento de esta clase de ‘soporte técnico’, cuando es necesario, es algo que suele permanecer lejos del conocimiento del público

…hasta ahora, pues hace unos días, Felipe Cañizares, CEO de la empresa de administración de redes DMNTR Network Solutions, utilizaba su cuenta corporativa para mostrar paso a paso cómo un cliente español tuvo que recurrir a esta clase de servicio.

Ransomware: qué es, cómo infecta y cómo protegerse

Ojalá todos los servicios de asistencia al cliente fueran así

El hilo en el que lo expuso (con gran repercusión) se titula «ransomware, un rescate pagado y la asistencia técnica más eficaz que te vas a encontrar en años» y es la historia del cliente de un profesional de la ciberseguridad que se puso en contacto con él tras sufrir un ataque ransomware y que, ante la perspectiva de carecer de backups con menos de 10 años de antigüedad, había decidido pagar el ‘rescate’ de su disco duro.

Hasta este punto, nada —por desgracia— fuera de lo normal. Hasta que algo sale mal: tras pagar el citado rescate, recibir dos archivos (el eliminador de virus y el desencriptador) y seguir los pasos indicados, el profesional en cuestión descubre que, tras reiniciarse el PC, los datos vuelven a encriptarse.

Ransom1

Vía @weareDMNTRs

Aquí es donde Cañizares decide darle un consejo a su amigo, medio broma y medio en serio:

«Usa la asistencia técnica de los [autores] del ransom[ware], no es coña, escríbeles a los artistas que han cobrado y diles lo que te pasa a ver si te dan solución, alguna vez hace años he tenido que hacerlo también».

Ransom2

Ante la falta de opciones, su amigo decide hacerle caso, y… los crackers responden con un enlace de Telegram. ¡Y allí le piden acceso mediante Anydesk para solucionar el problema! Más tarde (con pausa de dos horas mediante por problemas con la conexión) piden también acceso a ratón y teclado.

Tras 6 horas conectados en remoto al equipo, el problema persiste, y el ‘técnico’ decide traspasar la labor de asistencia ‘al jefe’. Varias horas (y reinicios) más tarde, parecen dar con la clave del asunto, nunca mejor dicho: había ficheros que respondían a la clave de desencriptado antes mencionada, y otros vinculados a una segunda clave.

Finalmente, tras 14 horas y 58 minutos, cierran la conexión vía Anydesk… habiendo logrado recuperar todos los ficheros. ‘Incidencia cerrada’. En palabras del amigo del autor del hilo, «brindan mejor servicio que muchas empresas».

Fuente info
Autor: