Foram revelados pela Bloomberg, detalhes de uma negociação de uma semana entre a Universidade da Califórnia e uma gangue de ransomware NetWalker.
A Escola de Medicina da Universidade estava trabalhando em uma vacina para Covid-19 em junho deste ano. Então, sete de seus servidores foram bloqueados pelos hackers. Contra o conselho do FBI, a Universidade resolveu o problema por conta própria e conduziu negociações privadas.
Apelando para simpatia
O negociador da universidade usou de lisonja, restaurou os sistemas com sucesso após apelar para o senso de simpatia e ética dos hackers e conseguiu reduzir o valor do resgate de até $ 6 milhões para pouco mais de $ 1 milhão em Bitcoin (BTC).
Imediatamente, o negociador garantiu que eles tivessem o hacker ao seu lado, pedindo respeito de ambos os lados.
“Estou disposto a resolver isso com você, mas tem que haver respeito mútuo. Você não concorda? Eu li sobre você na internet e sei que você faz parte de um grupo de hackers de ransomware famoso e muito profissional. Sei que você honrará sua palavra quando chegarmos a um acordo sobre o preço, certo?”
Então, os hackers responderam:
“Somos 100% respeitosos e nunca desrespeitaremos um cliente que fala conosco com respeito”.
A partir daí, as negociações mudaram. O negociador alegou que todos os fundos tinham ido para a pesquisa, sem sobrar nenhum.
Brincando com o aparente blefe, os hackers responderam que uma escola que arrecada mais de US$ 7 bilhões em receita anual não deve ter problemas para pagar alguns milhões:
“Você precisa entender, é uma grande universidade. Portanto, você pode arrecadar esse dinheiro em algumas horas. Você precisa nos levar a sério.”
A primeira oferta da universidade foi de US$ 780.000, mas foi ridicularizada pela operadora.
“Guarde os US$ 780 mil para comprar o McDonalds para todos os funcionários. É uma quantia muito pequena para nós. Sinto muito.”
Mais tempo
Como é típico em situações de resgate, o negociador então pediu mais dois dias para permitir que “o comitê universitário que toma todas as decisões” se reunisse novamente. Contudo, os hackers aceitaram com a condição de que o resgate de US$ 3 milhões dobrasse para US$ 6 milhões.
Um negociador de ransomware de Tel Aviv, Moty Cristal, disse em entrevista que a extensão do prazo pode ter se mostrado útil para os invasores também, dando-lhes tempo para identificar o valor de seus dados roubados.
Ficando pessoal
Nesse ponto, seja por desespero ou como estratégia psicológica, o negociador começou a apelar para a solidariedade da operadora.
“Não durmo há alguns dias porque estou tentando isso para você. Estou sendo visto como um fracasso por todos aqui e é minha culpa que isso esteja acontecendo. Quanto mais isso dura, mais eu me odeio […] Você é o único no mundo agora que sabe exatamente o que estou passando.”
Então, os hackers responderam:
“Meu amigo, sua equipe precisa entender que não é sua falha. Cada dispositivo na Internet é vulnerável.”
Quatro dias depois do início do ataque, o negociador acabou voltando com uma oferta de mais de US$ 1 milhão, dizendo que estava violando suas regras internas para aceitar uma doação adicional de US$ 120 mil, alegando que as negociações estavam encerradas.
“Normalmente não podemos aceitar essas doações, mas estamos dispostos a fazer isso funcionar apenas se você concordar em encerrar isso rapidamente.”
A universidade gastou 36 horas organizando a compra de 116 Bitcoin (US$ 1,14 milhão) e enviando os fundos aos atacantes de ransomware. Então, mais dois dias foram necessários para que os hackers confirmassem a exclusão de todos os dados confidenciais e devolvessem o acesso à universidade.
Após mais de oito dias sem acesso, a universidade obteve com sucesso o acesso completo de volta a todos os seus servidores. No entanto, os servidores permaneceram offline enquanto investigavam o incidente com o FBI e outros consultores de segurança cibernética.