Los profesionales de la ciberseguridad que se supone que deben negociar con los atacantes de ransomware ahora están siendo acusados de facilitar los ataques de ransomware. El Departamento de Justicia de los Estados Unidos ha anunciado cargos contra dos empleados de una empresa de negociación de ciberseguridad y un coconspirador por piratear y desplegar ransomware.
Las personas trabajaban para DigitalMint, una empresa que se especializa en negociar con ciberdelincuentes en nombre de organizaciones afectadas por ransomware. Un tercer sospechoso, anteriormente gerente de respuesta a incidentes en otra empresa, está acusado de participar en el esquema. La acusación alega que los sospechosos piratearon empresas, robaron datos corporativos confidenciales y utilizaron ransomware desarrollado por el grupo conocido como ALPHV/BlackCat para extorsionar a las víctimas.
Según los cargos, los empleados de DigitalMint abusaron de su papel de confianza al infiltrarse en las redes de las víctimas, obtener información confidencial y luego lanzar ransomware contra estos mismos objetivos. Los fiscales describen esto como una grave traición a la confianza que las organizaciones depositan en los socios de ciberseguridad. El Departamento de Justicia señaló que la conducta incluía “piratería no autorizada, robo de datos y despliegue de ransomware” bajo la apariencia de servicios de negociación.
Este caso pone de relieve una tendencia inquietante, ya que actores posicionados como asesores o negociadores defensivos están implicados en operaciones ofensivas. Las organizaciones que contratan a empresas de terceros para negociar con adversarios de ransomware pueden necesitar reevaluar sus dependencias y controles. El doble papel de defensor y atacante complica los marcos de confianza y supervisión en la cadena de suministro de ciberseguridad.
La negociación del ransomware es intrínsecamente de alto riesgo. Las víctimas que interactúan con los atacantes a través de intermediarios generalmente esperan minimizar el daño, recuperar sistemas cifrados y evitar fugas de datos. Pero cuando la parte negociadora es cómplice de la cadena de ataque, crea un conflicto de intereses e introduce nuevos riesgos. Las suposiciones tradicionales sobre mediadores confiables ya no siempre se aplican.
La acusación no revela el número de organizaciones víctimas ni las pérdidas totales causadas por el presunto esquema. Sin embargo, enfatiza que la variante de ransomware utilizada, BlackCat / ALPHV, es una herramienta prolífica en las campañas de caza mayor. Los analistas han rastreado al grupo extorsionando pagos multimillonarios y amenazando con la exposición de datos si no se pagan las demandas.
Para las organizaciones que dependen de los servicios de negociación en incidentes de ransomware, surgen varios pasos de precaución. En primer lugar, la diligencia debida en las empresas negociadoras debe incluir evaluaciones de independencia, permisos de acceso e historiales de respuesta a incidentes. En segundo lugar, los controles contractuales y técnicos deben limitar el acceso del negociador a entornos sensibles hasta que su función esté claramente definida y limitada. En tercer lugar, los planes de respuesta a incidentes deben considerar escenarios en los que los propios servicios de negociación pueden verse comprometidos.
En un contexto más amplio, el papel cambiante de las empresas de negociación refleja cómo los ecosistemas de ransomware se están volviendo cada vez más complejos. Los atacantes no se limitan a cifrar datos y exigir pagos. Ahora pueden confiar en socios de confianza, personas con información privilegiada o actores externos que se hacen pasar por defensores para obtener acceso inicial, moverse lateralmente y lanzar campañas de extorsión. Esto aumenta el riesgo organizacional más allá de la intrusión inicial para incluir la cadena de suministro intermediaria de respuesta a incidentes y negociación.
Los defensores deben centrarse en fortalecer la visibilidad de todas las partes involucradas en un incidente de ransomware, no solo el adversario sino también la red de respondedores y negociadores. Esto implica verificar las credenciales de las empresas de negociación, realizar un seguimiento de sus actividades en tiempo real y mantener estructuras de gobernanza de incidentes que separen los roles de negociación de acceso y corrección.
Los cargos del Departamento de Justicia subrayan la necesidad de un escrutinio regulatorio y estándares profesionales en el sector de negociación de ransomware. A medida que el papel de los intermediarios negociadores se formaliza, pueden surgir preguntas sobre licencias, supervisión y ética. El caso puede sentar un precedente sobre cómo los gobiernos y la industria regulan el mercado más amplio de respuesta a incidentes.
El ransomware sigue siendo una amenaza importante, pero este desarrollo desplaza parte de la superficie de amenaza al ámbito de los servicios de confianza. Las organizaciones deben tratar los servicios de negociación como parte del ecosistema de respuesta a incidentes que requiere el mismo nivel de investigación y seguridad que cualquier otro proveedor con acceso privilegiado. Si no lo hace, un recurso de ayuda podría convertirse en un vector de amenaza.