Tras un informe la semana pasada sobre un ataque de ransomware en Epic Games que supuestamente se llevó casi 200 GB de datos, Epic ahora dice que todo fue, de hecho, «una estafa «… y también lo hace el grupo que se atribuyó el mérito en primer lugar.
El ataque, informado el 28 de febrero por Cyber Daily, fue supuestamente llevado a cabo por un grupo de hackers que se hace llamar Mogilevich, presumiblemente adoptando el nombre del notorio jefe criminal ruso Semion Mogilevich. El grupo dijo que había obtenido 189 GB de datos en el ataque, incluyendo «correo electrónico, contraseñas, nombre completo, información de pago, código fuente y muchos otros datos», y los estaba ofreciendo a la venta, con una fecha límite de pago del 4 de marzo.
Todo parecía un poco sospechoso desde el principio: no se estableció ningún monto de rescate específico, ni se proporcionó ninguna prueba de que el hackeo realmente había tenido lugar, lo cual es una práctica bastante estándar para este tipo de cosas. Por su parte, Epic dijo que había «cero evidencia » la reclamación era legítima y que sus esfuerzos por contactar con Mogilevich habían quedado sin respuesta.
Efectivamente, cuando llegó la fecha límite del rescate, Mogilevich admitió que todo era una estafa: un nuevo informe de Cyber Daily dice que un enlace que supuestamente contenía los datos robados de Epic conducía a un mensaje que anunciaba los servicios del grupo como «estafadores profesionales».
«Ninguna de las bases de datos enumeradas en nuestro blog era tan verdadera como usted podría haber descubierto recientemente», escribió un representante del grupo que se hace llamar Pongo. «Aprovechamos los grandes nombres para ganar visibilidad lo más rápido posible, pero no para [gain] fama y recibir aprobación, sino construir meticulosamente nuestro nuevo tráfico de víctimas para estafar.»
El mensaje explica cómo Mogilevich utilizó afirmaciones falsas de hackeos e «ingeniería social» para extraer sumas cada vez mayores de las víctimas, comenzando con la venta de sus servicios de hacking (que en realidad no existían) a ocho personas por 1.000 dólares cada una, una cantidad que fue aumentó a 2.000 dólares cada uno una vez que aceptaron pagar, y finalmente condujo a lo que Mogilevich afirmó fue un pago de 85.000 dólares por los materiales tomados en un ataque al fabricante de drones DJI, aunque el grupo nuevamente no ha proporcionado ninguna prueba de que el pago realmente haya ocurrido.
Pero ahora la cosa ha terminado: Migolevich ha confesado la verdadera naturaleza de sus crímenes y Epic ha confirmado que no fue pirateado.
«Nuestra investigación ha concluido», tuiteó Epic. «Las afirmaciones del grupo nunca fueron legítimas: esto fue una estafa».
(Crédito de la imagen: Epic Games (Twitter))
En cuanto a por qué los hackers estafadores soltaron la sopa, parece ser un caso del clásico defecto del villano: Mogilevich quiere alardear.
«Esto se hizo para ilustrar el proceso de nuestra estafa», escribió Pongo. «No nos consideramos hackers sino genios criminales, si se nos puede llamar así.
Pongo agregó que creen que han «enseñado a mucha gente, especialmente a Epic Games, una lección» de que los informes de hackeos y reclamos de rescate en realidad tuvieron el efecto opuesto al deseado: finalmente no hicieron «nada». [more] que publicitarnos ampliando nuestra red fraudulenta».
Por supuesto, como señaló Cyber Daily, ninguno de esos fundamentos es verificable, y también es posible que Mogilevich supiera que Epic no iba a jugar a la pelota y decidiera reclamar un poco de fama mientras aún pudiera. Cualquiera sea el motivo, y sin importar cuántas personas se hayan dejado engañar por esta estafa, es otro recordatorio de que hay que tener cuidado: como les gusta decir a los rusos, confíe, pero verifique.