El ataque cibernético malicioso que obligó al gobierno del condado de Suffolk a desconectarse durante semanas este otoño, volviendo a utilizar el lápiz y el papel y las máquinas de fax de la década de 1990 mientras luchaba para detener la amenaza, comenzó hace más de un año, revelaron funcionarios del condado el miércoles.
Una investigación digital forense sobre la causa del ataque, en el que los piratas informáticos robaron datos confidenciales, lo que obligó a los funcionarios de Long Island a desactivar el correo electrónico para los 10,000 trabajadores del servicio civil mientras el condado de Nueva York limpiaba el software para evitar la intrusión, reveló que los piratas informáticos primero penetraron El sistema informático de Suffolk el 19 de diciembre de 2021. Entraron a través de la oficina del secretario del condado, aprovechando una falla en un software oscuro pero común.
Los piratas informáticos pasaron gran parte del año siguiente en el sistema del secretario, encontró la investigación, y finalmente lograron violar la red más amplia del condado a fines del verano, antes de que se revelaran en septiembre, publicando notas de rescate en la web oscura. En respuesta, el condado se desconectó y no pagó. El miércoles, los funcionarios revelaron por primera vez la cantidad de rescate que exigieron los piratas informáticos: 2,5 millones de dólares.
La investigación, que comenzó inmediatamente después del descubrimiento del ataque y aún está incompleta, examina cómo y cuándo ocurrió la piratería, que según los funcionarios del condado fue realizada por BlackCat, un equipo de piratería profesional también conocido como ALPHV. Hoy, el sistema del condado está en gran parte nuevamente en línea, pero aún existen varias soluciones alternativas.
Quedan preguntas, incluida la más apremiante, cuántos datos confidenciales fueron robados. Una investigación criminal separada por el F.B.I. Está en marcha. En una conferencia de prensa el miércoles celebrada en Hauppauge, Steven C. Bellone, el ejecutivo del condado de Suffolk, anunció que el director de tecnología de la información de la oficina del secretario había sido puesto en licencia administrativa pagada, después de haber actuado de «una manera increíblemente indiferente» con respecto a su oficina. ciberseguridad en el período previo al ataque.
En un correo electrónico, el I.T. El director, Peter Schlussler, dijo que su oficina había tratado varias veces de crear conciencia de que se necesitaba una protección de seguridad cibernética más robusta, y compartió correos electrónicos que, según él, mostraban que esas solicitudes fueron rechazadas. El condado cuestiona su caracterización.
“Nadie es perfecto en la toma de decisiones en el mundo tecnológico altamente complejo, incluido yo”, escribió Schlussler. “Sin embargo, sé que hice lo mejor que pude al tratar de generar conciencia sobre los problemas cibernéticos que mi equipo y yo presenciamos durante el transcurso del año”.
A fines de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos emitió un aviso urgente de que las organizaciones eran vulnerables a la falla del software que permitía el acceso de los piratas informáticos de Suffolk, advirtiendo que «actores sofisticados de amenazas cibernéticas están escaneando activamente las redes» para explotar la debilidad, y instando a las organizaciones a actualizar sus sistemas.
En el condado de Suffolk, varios departamentos crearon un parche cibernético en respuesta a la advertencia, esencialmente impidiendo que los piratas informáticos ingresen a sus sistemas. Pero el condado no tiene un protocolo de seguridad cibernética centralizado en todos los departamentos, e I.T. los equipos operan en feudos separados: la oficina del secretario del condado, Judith A. Pascale, no hizo la solución, dijo Lisa Black, directora ejecutiva adjunta del condado. La Sra. Pascale, cuyo mandato finaliza este año, no respondió de inmediato a un mensaje solicitando comentarios.
“Mientras que el departamento de TI del empleado director sabía de la vulnerabilidad”, dijo Bellone en la conferencia de prensa el miércoles, “fracasó”.
Los piratas informáticos explotaron la estructura descentralizada del condado de Suffolk, agregó Bellone, y compararon la situación con tener cámaras de seguridad en todas las habitaciones de una casa excepto en una. “Lo que tenemos aquí es una mala estructura que se encuentra con un actor de mala fe”, dijo.
Desde 2017, más de 3600 gobiernos locales, estatales y tribales de todo el país han sido atacados por piratas informáticos de ransomware, según el Centro de Análisis e Intercambio de Información Multiestatal, una organización que busca mejorar la posición de seguridad cibernética de los Estados Unidos. Un informe de noviembre de Tenable, una empresa que busca mitigar la exposición de las organizaciones a la piratería, encontró que en los meses posteriores a la advertencia del gobierno de 2021, casi las tres cuartas partes de las organizaciones seguían siendo vulnerables.
Después de penetrar el sistema del secretario del condado de Suffolk en diciembre, los piratas informáticos parecían pasar meses husmeando en sus rincones y grietas, según los investigadores, que siguieron las «migas de pan digitales» que los piratas informáticos dejaron atrás. Al mes siguiente, se instalaron varios programas de minería de Bitcoin en el sistema del empleado, encontraron los investigadores, estableciendo lo que se conoce en ciberdelincuencia como «persistencia» en la red del empleado; los piratas informáticos, en otras palabras, estaban probando los límites de la penetrabilidad del sistema.
En Suffolk, los piratas informáticos encontraron un sistema poroso, que abordaron y exploraron durante meses sin ser detectados. Según la investigación:
- Para marzo de 2022, los piratas informáticos habían instalado herramientas de administración remota que les permitieron ejecutar las computadoras de la oficina del secretario del condado desde lejos.
- Para abril, habían creado su propia cuenta en el sistema del empleado, «John», el primero de varios usuarios deshonestos ficticios con permisos administrativos.
- Para julio, estaban sacando archivos completos de las computadoras, incluso el 13 de julio, cuando encontraron y se llevaron uno con la etiqueta «Contraseñas».
- Para agosto, habían instalado scripts que recopilaban credenciales de inicio de sesión, lo que les permitía capturar las contraseñas de todos los empleados en la oficina del secretario.
- Para fines de mes, habían comenzado a saltar de la red informática del secretario a otros sistemas separados en el condado, incluida la agencia de tránsito y estacionamiento y el departamento de salud. Allí, los piratas informáticos cifraron los archivos para hacerlos inaccesibles y mantenerlos como rehenes.
La oficina de la Sra. Pascale no es ajena al uso ilegal de sus sistemas informáticos. En septiembre de 2021, unos meses antes de los ciberataques, la policía arrestó a uno de sus I.T. supervisores, Christopher Naples, quien según los fiscales había escondido 46 dispositivos especializados de minería de criptomonedas en el edificio de Riverhead donde se encontraba su oficina. Fue acusado de corrupción pública y hurto mayor, entre otros cargos. Si es declarado culpable del cargo principal en su contra, el Sr. Naples enfrenta hasta 15 años de prisión.
De hecho, una de las cuentas deshonestas que los piratas informáticos crearon durante el verano parecía insinuar el conocimiento de este incidente; es un juego sobre el nombre del Sr. Naples.
El Sr. Naples está en licencia administrativa, en espera de juicio. Todavía recibe un salario, según la portavoz del condado, Marykate Guilfoyle. Ella dijo que el condado no tenía conocimiento de ninguna conexión entre el Sr. Naples y el ataque cibernético.
Aunque los piratas informáticos ingresaron a las computadoras de Suffolk justo antes de la Navidad del año pasado, fue solo el 8 de septiembre cuando el software antivirus del condado, los sistemas que alertan a los piratas informáticos, comenzó a sonar.
En cuestión de horas, el condado se desconectó mientras se apresuraba a detener una incursión de la que acababa de enterarse, ocho meses y 21 días después de que comenzara el ataque cibernético.
