Especialista en dispositivos de copia de seguridad es afectado por el ransomware Conti en mayo, los ciberdelincuentes descargaron datos de empleados y clientes, contratos confidenciales y código fuente viéndose obligados a pagar por el rescate de sus datos con la suma de 50,75 bitcoins ($2.6 millones de dólares) el 13 de mayo, según la información obtenida por la publicación francesa de ComputerWeekly.com, LeMagIT.

La adhesión a las demandas del atacante de ransomware se hizo más vergonzosa cuando el proveedor del dispositivo de respaldo, que hace un gran juego de sus puntos fuertes contra el ransomware, eliminó accidentalmente la herramienta de descifrado y tuvo que volver a solicitarla.

La sumisión al ataque de ransomware se produjo el mismo mes en que el operador estadounidense de oleoductos Colonial Pipeline pagó 4,5 millones de dólares después de ser atacado por el ransomware Darkside y el servicio de salud irlandés fue atacado, también por el ransomware Conti.

Las negociaciones, a las que tuvo acceso LeMagIT, comenzaron el 4 de mayo con una persona con el título de “Técnico jefe de TI con ExaGrid Systems”. Los ciberdelincuentes fueron directos al grano y dijeron: "Como ya sabe, nos infiltramos en su red y permanecimos en ella durante más de un mes (lo suficiente para estudiar toda su documentación), ciframos sus servidores de archivos, servidores SQL, descargamos toda la información importante con un peso total de más de 800 GB ".

Continuaron describiendo cómo se habían apoderado de los datos personales de clientes y empleados, contratos comerciales, formularios de NDA, datos financieros, declaraciones de impuestos y código fuente. El rescate inicial exigido fue de $ 7,480,000, ExaGrid quería probar el descifrado en una muestra y se proporcionó una foto del frente de una caja NAS ExaGridEX63000E.

Las negociaciones continuaron y duraron hasta el 13 de mayo. Durante todo este período, los atacantes compartieron archivos con ExaGrid a través de Sendspace para mostrar a qué habían podido acceder. Algunos archivos compartidos de esta manera no se habían eliminado durante algún tiempo después de que terminaron las negociaciones y aún podían descargarse.

El negociador del ciberdelincuente parecía más experimentado que otros. Después de una oferta inicial de ExaGrid de más de $ 1 millón, ella respondió: “Gracias por sus esfuerzos. Esta es una oferta inicial justa y razonable. Ahora tenemos la oportunidad de negociar. Estamos preparados para ofrecerle un descuento de $ 1 millón. Su tarifa ahora será de $6,480,000 ”.

En contraste con el enfoque de mano dura de otros ciberdelincuentes, el negociador agregó: “Entendemos que su trabajo aquí no es fácil y requiere cierto esfuerzo para convencer a los miembros de su directorio. Pero todavía estamos lejos de llegar a un acuerdo ".

Una semana después, el negociador de ExaGrid elevó su oferta a 2,2 millones de dólares. Los ciberdelincuentes luego redujeron su demanda a $ 3 millones. En ese momento, los intercambios se intensificaron a medida que las dos partes buscaban llegar rápidamente a un acuerdo. Eso llegó pronto con un acuerdo de $ 2.6 millones, y la dirección de bitcoin indicó que se pagó la cantidad negociada.

La herramienta de descifrado se proporcionó a través de una cuenta en Mega.nz, donde se almacenaron los datos robados. Los datos y las cuentas se eliminaron de inmediato.

Pero luego, dos días después, el negociador de ExaGrid pidió que se volviera a enviar la herramienta de descifrado porque “la borramos por accidente”. Los ciberdelincuentes lo dejaron disponible para su descarga al día siguiente.

El ataque es particularmente vergonzoso para Exagrid, que en diciembre pasado anunció que había ganado siete premios de la industria, así como el lanzamiento de una nueva solución para restauraciones luego de ataques de ransomware.

En su sitio web, sobre el tema del ransomware, ExaGrid dice: "ExaGrid ofrece un enfoque único para garantizar que los atacantes no puedan comprometer los datos de respaldo, lo que permite a las organizaciones estar seguras de que pueden restaurar el almacenamiento primario afectado y evitar pagar rescates desagradables". Se solicitó comentarios a ExaGrid, pero no estaba disponible en el momento de la publicación.