Recentemente, a Escola de Medicina de San Francisco da Universidade de Califórnia (UCSF) foi vítima de um ataque ransomware, uma espécie de vírus que criptografa todos os documentos de um dispositivo.

Para conseguir a chave para descriptografar, geralmente os invasores pedem um resgate em dinheiro ou favores. Esse tipo de ataque se tornou muito comum desde 2015, aumentando em mais de 10x sua frequência, além da conexão com resgates pedidos em Bitcoin (pela pseudo-anonimidade da moeda).

O site Netwalker na Dark Web é usado para negociações com vítimas
Site do grupo Netwalker, usado para negociações anônimas na Dark Web

Os hackers receberam US$ 1.14 milhões da universidade para o resgate, no dia 1º de junho. Segundo matéria da CBS San Francisco, a equipe de TI da faculdade disse que o ataque afetou um “limitado número de servidores na Escola”.

Os servidores afetados foram rapidamente desconectados, para evitar que o vírus continuasse se espalhando na rede central da universidade.

“Os dados que foram criptografados são importantes para parte do trabalho acadêmico que realizamos como universidade que serve ao bem público. […]

Portanto, tomamos a difícil decisão de pagar parte do resgate, aproximadamente US$ 1,14 milhão, aos indivíduos por trás do ataque de malware em troca de uma ferramenta para desbloquear os dados criptografados e o retorno dos dados obtidos”.

Negociações

Segundo matéria da BBC, houve extensiva negociação entre representantes da universidade e o grupo hacker Netwalker pela internet. A escola, por sua vez, pediu tempo e instruções para negociar, além de uma redução do valor de resgate – de US$ 1.5 milhão para US$ 780 mil.

Conversa entre hackers Netwalker e UCSF
Hacker se enfurece ao ouvir da nova proposta, afirmando que “o vazamendo de dados dos seus alunos causarão perdas muito maiores”.

“[Operador]: Como eu poderia aceitar 780.000? É como se eu tivesse trabalhado para nada. Vocês podem coletar o dinheiro em duas horas. Vocês tem que levar isso a sério. Se nós soltarmos os dados dos estudantes e seus históricos, tenho 100% de certeza que vocês vão perder muito mais do que o preço que estamos pedindo. Nós podemos concordar em um preço, mas não assim, porque eu vou considerar isso como um insulto.”

Conversa entre hackers Netwalker e UCSF
Eventualmente, o valor final de US$ 1,14 milhão foi negociado.

“[Operador]: Eu falei com meu chefe. Enviei todas as mensagens e ele não consegue entender que uma universidade como a de vocês: 4-5 bilhões por ano. É muito difícil entender e perceber que você só pode chegar até US$ 1.020.895. Mas ok. Eu realmente acho que seu departamento de contabilidade consegue mais US$ 500.000. Então nós vamos aceitar $ 1.5m e todos poderemos dormir bem.”

A transferência de 116.4 BTC foi feita para a carteira eletrônica do Netwalker, enquanto o software de descriptografia foi enviado ao UCSF. Agora, a universidade trabalha com o FBI nas investigações.