El conocido periodista especializado en seguridad informática Brian Krebs ha podido saber que un experto anónimo ha logrado acceder a la cuenta de correo electrónico (cryptom27@yandex.com) que proporcionó el hacker para mantener el contacto con las autoridades y guiarles durante el proceso de pago mediante Bitcoins. El investigador logró acceder a dicha cuenta de correo simplemente adivinando la respuesta a su pregunta secreta de seguridad, pero también a una segunda dirección (cryptom2016@yandex.com) asociada a la principal que estaba protegida con la misma pregunta y la misma respuesta. Mr. Robot imita a la realidad, pero la realidad supera a la ficción.
El suceso es relevante no solo por lo esperpéntico del asunto, sino porque permite saber más sobre los cibercriminales especializados en la extorsión mediante ransomware.
140.000 dólares extorsionados desde agosto
Según revelan las copias de los mensajes obtenidos por Krebs, el hacker se puso en contacto con el responsable de infraestructura de la Agencia Municipal de Transporte el pasado 25 de noviembre para exigir el pago de 100 Bitcoins. Aunque es una cantidad de dinero elevada, tan solo supondría una pequeña parte de los ingresos obtenidos por el hacker. Un análisis de las cuentas de correo muestra que desde agosto obtuvo un mínimo de 140.000 dólares extorsionando a sus víctimas.
La inspección de los correos del hacker indica que el "secuestro" de los ordenadores de la Agencia Municipal de Transporte fue un suceso atípico en su carrera como cibercriminal. Sus principales víctimas son empresas estadounidenses dedicadas a la manufactura de productos y a la construcción, que generalmente terminaban pagando íntegro el rescate exigido: 1 Bitcoin (unos 740/700 euros al cambio de hoy) por cada servidor inutilizado. En algunos casos (como el de cierta compañía llamada China Construction America), las víctimas lograron negociar un rescate menos oneroso.
Todo apunta a que el uso de una dirección de correo de Yandex y un teléfono de contacto ruso es solo una estratagema para desviar la atención de los investigadores, al igual que el pseudónimo Andy Saolis. Los registros del servidor utilizado para lanzar el ataque muestran que fue controlado casi exclusivamente desde direcciones con origen en Irán. Otra posible pista la ofrecen los nombres de algunas cuentas en el servidor, como Mokhi y Alireza. Ali Reza fue el séptimo descendiente de Mahoma y es un nombre persa muy extendido en algunos países musulmanes.
Por ahora se desconocen el paradero y la identidad real del hacker.