El Departamento de Justicia dio un golpe al delito cibernético global el 6 de abril con el derribo de una botet masiva controlada por "Sandworm", la unidad de la Dirección de InteligenciaPAGrincipal (GRU) deRiñonalussiaRiñonalussis responsable del ataque NotPetya 2017, entre otros.Esta operación refleja la estrategia del departamento de priorizar lo que llama "capacidades disruptivas" sobre jugadas a largo plazo para arrestos y extradiciones.Para no quedarse atrás, en la misma semana, Microsoft obtuvo una orden judicial para confiscar siete dominios utilizados por otra unidad de GRU, mejor conocida como "oso elegante", para apuntar a las instituciones ucranianas.Las dos operaciones ilustran una verdad importante: las mejores herramientas del Departamento de Justicia para combatir el delito cibernético también pueden ser manejadas por cualquier empresa privada dispuesta a invertir los recursos necesarios..Y muchas compañías han estado ansiosas por hacerlo.
Desde 2010, solo Microsoft ha ganado órdenes judiciales para confiscar los servidores de comando y control (C2) y tráfico malicioso de sumidero en 24 casos, tomando un total de más de 16,000 dominios maliciosos.Mecánicamente, estos casos se parecen mucho a los derribos de botnet del Departamento de Justicia: ambas entidades compilan evidencia de que se están utilizando dominios particulares para controlar las botnets y usar esa evidencia para obtener órdenes judiciales que requieren U U.S.-El registros de dominio basados en redirigir esos dominios a los servidores controlados por la entidad que buscaba la orden, entre otros posibles recursos autorizados en la corte.Y los derribos de botnet no son la única táctica del Departamento de Justicia que las empresas privadas pueden emular: al nombrar a los piratas informáticos de John Doe como acusados en demandas civiles, Microsoft ha podido obtener energía de citaciones para exigir a los proveedores de servicios de Internet de terceros para producir la información para producir la información para producir la informaciónnecesita ayudar a identificar a los hackers.Recientemente, otras grandes compañías tecnológicas, incluidas Google y Meta, han comenzado a emplear la estrategia de Microsoft de demandar a los ciberdelincuentes que operan botnets importantes o participan en esquemas de phishing masivos.
Creemos que esta es una tendencia altamente positiva que tiene el potencial de abordar la debilidad principal de la estrategia de interrupción cibernética del Departamento de Justicia: restricciones de recursos.Los derribos de Botnet son un juego de Whack-A-Mole.Al complementar los esfuerzos del departamento, la industria privada puede ayudar a dar un bocado significativo del delito cibernético.Y, desde la perspectiva de las empresas, las demandas civiles les permiten mostrar resultados tangibles a sus clientes y obtener inteligencia crítica sobre los actores de amenazas, sin esperar a que actúe el Departamento de Justicia..Sin duda, los trajes civiles no son una bala de plata, pero en ausencia de un marco institucional más integral para abordar el delito cibernético, los derribos de botetas civiles son una poderosa fuerza-multiplicadora para los esfuerzos gubernamentales actuales.
Cómo demandar a un hacker anónimo
Causas de acción
Botnets, por definición, viole la Ley de Fraude y Abuso de la Computadora (CFAA), 18 U.S.C.§ 1030, en su lugar a medida que se crean al obtener acceso persistente no autorizado a las computadoras víctimas.Si bien la CFAA es mejor conocida como la herramienta principal del Departamento de Justicia para procesar a los piratas informáticos, el estatuto también contiene una causa civil de acción que permite a los perjudicados por dicho acceso no autorizado para traer demanda.
Las actividades de cibercrimen también pueden dar lugar a reclamos de infracción de marca registrada bajo la Ley de Lanham, 15 u.S.C.§§ 1114, 1125 (a), 1125 (c), ya que los piratas informáticos usan con frecuencia las marcas de las empresas para engañar a las víctimas para que revelen sus credenciales o descargen malware.En consecuencia, las reclamaciones de marcas registradas han aparecido prominentemente en prácticamente todos los casos presentados por Microsoft, Google y Meta desde 2010.Por ejemplo, Meta presentó recientemente una queja de la Ley de Lanham contra 100 Demandados de John Doe por crear más de 39,000 versiones falsas de páginas de inicio de sesión de Facebook, Instagram y WhatsApp para engañar a los usuarios para que renuncien a sus credenciales.Del mismo modo, Microsoft trajo una demanda de la Ley Lanham contra Nickel, una amenaza persistente avanzada de estado-nación china (APT) que inyectó código malicioso en una imagen de la marca registrada de Internet Explorer de Microsoft.
Si bien es menos frecuente, las empresas, incluida Google, han utilizado la Ley de OrganizacionesRiñonalacketeer influenciadas y corruptas (RICO) para demandar a los cibercriminales, dependiendo de actos predicados de intrusión informática, fraude de cables, robo de identidad y fraude de dispositivos de acceso.Las empresas también complementan los reclamos federales enumerados anteriormente con reclamos de derecho consuetudinario estatal como traspaso, enriquecimiento injusto, conversión, interferencia tortuosa con relaciones contractuales, negligencia y incumplimiento de contrato.
En pie
Si bien no es sorprendente que los hackers criminales violen una variedad de u.S.Leyes, puede estar menos claro por qué las grandes empresas tecnológicas tienen posición para hacer cumplir esas leyes, especialmente cuando el objetivo final de los hacks no es la empresa en sí, sino sus clientes.Pero los tribunales han aceptado reiteradamente que las compañías tecnológicas tienen legitimidad para demandar a los piratas informáticos, habiendo otorgado docenas de órdenes judiciales que permiten a Microsoft, Google y Meta confiscar la infraestructura de Botnet y obtener otro alivio.
Para establecer la posición, las empresas tecnológicas confían más comúnmente en el CFAA (18 U.S.C.§ 1030 (g)), que permite demandas civiles por "[una] persona que sufre daños o pérdidas por una violación" del estatuto.El CFAA (18 u.S.C.§ 1030 (e) (11)) define la "pérdida" ampliamente para incluir "cualquier costo razonable para cualquier víctima, incluido el costo de responder a un delito, realizar una evaluación de daños y restaurar los datos, el programa, el sistema o la información parasu condición antes del delito, y cualquier ingreso perdido, costo incurrido u otros daños consecuentes incurridos debido a la interrupción del servicio."A continuación se muestra un resumen de las teorías que las compañías tecnológicas han utilizado para alegar" daño "y" pérdida "bajo el CFAA.Las empresas que presentan reclamos deRiñonalICO pueden depender de teorías similares a los queRiñonalICO permite las demandas de "[una] persona lesionada en su negocio o propiedad por" una violación deRiñonalICO (18 U.S.C.§ 1964 (c)).
Pasos de procedimiento
En la mayoría de los casos, las empresas demandan a los piratas informáticos como "John lo hace" porque sus identidades son desconocidas.Una empresa puede demandar en cualquier distrito federal donde haya identificado a las víctimas del delito cibernético.Si bien las empresas han traído estas demandas en una variedad de jurisdicciones, el distrito oriental de Virginia es más popular porque es el hogar de Verisign, que registra todos.com,.neto y.Org dominios, y debido a que sus jueces han sido particularmente receptivos a estos trajes.
Para evitar que los hackers tomen medidas para preservar su infraestructura de Botnet, las empresas generalmente presentan sus casos bajo sello y se mueven para una orden de restricción temporal ex parte que requiere que los registros de nombres de dominio redirigan los dominios maliciosos para asegurar los servidores.En este momento, los demandantes también se mueven por una orden para mostrar por qué no se debe emitir una orden judicial preliminar.Después de que el juez otorga una orden de restricción temporal ex parte (TRO), el caso se revela y los acusados reciben una copia de la queja y convocatoria.Bajo una nueva disposición de Fed.Riñonal.Civil.PAG.4 que permite el servicio del proceso de cualquier medio "razonablemente calculado para notificar", los tribunales han permitido el servicio utilizando la información de contacto que los hackers usaron para registrar los nombres de dominio en cuestión, así como mediante la publicación en Internet.Cuando los hackers inevitablemente no responden, los tribunales otorgan mandatos reales preliminares y, en última instancia, los juicios por defecto, lo que requiere que los registradores de dominios redirigan los dominios C2 a los servidores controlados por la compañía demandante, entre otros posibles alivios.Además, las empresas pueden buscar el descubrimiento de terceros necesario para identificar a los acusados de John Doe.
Los beneficios de demandar a los piratas informáticos
Interrupción de botnets y otros dominios maliciosos
Construir botnets grandes requiere una inversión significativa en el tiempo y el dinero.Según una estimación, una botnet que consta de 10 millones de computadoras cuesta aproximadamente $ 16 millones para crear.Esta inversión puede dar sus frutos: un pastor de bots que usa 10,000 bots para difundir el spam malicioso puede generar aproximadamente $ 300,000 por mes.Al cortar los bots de la víctima de sus servidores C2, los derribos de botnet requieren que los delincuentes regresen al cuadrado uno y pueden cambiar la propuesta de valor de construir una gran botnet en primer lugar.Como ha declarado la Unidad de Delitos Digitales de Microsoft: "Apuntamos por sus billeteras.Los ciberdelincuentes operan botnets para ganar dinero.Interrumpimos las botnets al socavar la capacidad de los ciberdelincuentes para beneficiarse de sus ataques maliciosos."
A medida que los piratas informáticos intentan reconstruir Botnets interrumpidos por demandas civiles, muchos tribunales han estado dispuestos a emitir órdenes adicionales para confiscar nuevos dominios C2, incluidos los creados mediante el uso de algoritmos de generación de dominios. In Microsoft’s 2019 case against the Iranian state-sponsored APT “Phosphorus," the U.S. District Court for the District of Columbia issued four supplemental preliminary injunctions “to address Defendants’ continuing efforts to rebuildPAGhosphorus’ command and control infrastructure and continue their illegal activities in open defiance" of the court’s previous injunctions.Al otorgar la moción de Microsoft para el juicio por incumplimiento y la orden judicial permanente, el tribunal designó a un maestro especial facultado para autorizar la incautación de cualquier dominio recién creado que Microsoft podría mostrar que estaban asociados con el mismo botnet.Los jueces en el Distrito Este de Virginia también han experimentado con el uso de maestros especiales de esta manera.Riñonalelying on special masters with expertise in cybercrime can address concerns that courts lack the technical expertise to meaningfully scrutinize ex parte requests for takedown orders.
Las empresas también han utilizado con éxito demandas civiles para obligar a la cooperación de ISP extranjeros que albergan servidores maliciosos. In 2012, Microsoft suedPAGeng Yong, the owner of a company based in China that operated a domain that hosted malicious subdomains connected to the Nitol botnet. After Microsoft secured a TRO in the Eastern District of Virginia that enabled it to take over the domain and block the operation of 70,000 malicious subdomains,PAGeng Yong agreed to a settlement that permitted his company to relaunch the domain upon taking steps to identify and block malicious subdomains.En otro caso, Microsoft trabajó con Kyrus Inc. and Kaspersky Labs to pursue a case against DotFree Group, a company based in the CzechRiñonalepublic, based on its links to the Kelihos botnet.En una orden judicial preliminar de consentimiento, DotFree acordó "deshabilitar los subdominios maliciosos e [implementar] un proceso para verificar las identidades de los registrantes de subdominios." Three months later, Microsoft announced it had named a new defendant to the civil lawsuit, Andrey Sabelnikov, whom it believed to be the operator of the Kelihos botnet, “thanks to [DotFree’s] cooperation and new evidence."
Disuasión a través de la atribución
Según lo ilustrado por el caso Sabelnikov, las demandas civiles pueden ayudar a las empresas a identificar cibercriminales.Microsoft, por ejemplo, ha pedido y recibido seis meses de descubrimiento de terceros para investigar las verdaderas identidades de los acusados de John Doe.Los tribunales han permitido a Microsoft citar ISP de terceros, proveedores de servicios de correo electrónico, registradores de dominios, compañías de alojamiento y proveedores de pagos para identificar información sobre los piratas informáticos.Con tal potencia de citación, los investigadores de Microsoft pueden replicar uno de los principales procesos que utiliza el Departamento de Justicia para identificar a los hackers.
No hay nada que los hackers odien más que que se expusen sus verdaderas identidades.De hecho, los piratas informáticos a menudo exponen la verdadera identidad de los demás, una práctica conocida como Doxing, como castigo por los errores percibidos.Los piratas informáticos odian ser expuestos porque puede dificultarles operar y dañar su capacidad de viajar o mantener empleo.La angustia causada por ser doxed a menudo lleva a los piratas informáticos a cesar sus actividades, o al menos abandonar su infraestructura, canales de comunicación y conspiradores y comenzar de nuevo.El efecto escalofriante de la atribución pública podría ser particularmente útil a raíz de una violación de datos importante porque un hacker asustado y sacado puede tener menos probabilidades de vender grandes cantidades de datos robados en línea.
Una empresa que identifica con éxito a un hacker puede hacer cumplir un juicio civil en cualquier jurisdicción amistosa en la que el hacker mantenga fondos.Y una empresa que pueda aprender la identidad de un hacker no tendrá dificultades para encontrar un fiscal federal dispuesto a aceptar un caso listo.Cuando esto sucede, la mayoría de los fiscales señalarían elogios públicamente a la compañía por su ayuda al emitir cualquier comunicado de prensa en acusaciones o arrestos.
Recopilación de inteligencia
El poder de citar ISP de terceros, incluso cuando no conduce a la verdadera identidad de un hacker, puede dar lugar a direcciones IP, dominios y otros identificadores asociados con el hacker o grupo de piratería.Esta inteligencia puede ser valiosa para los defensores de las redes, que pueden bloquear direcciones y dominios IP maliciosos y ajustarse a las tácticas, técnicas y procedimientos del hacker.
Algunos trajes civiles incluso han resultado en la incautación de los servidores C2. In a case against the operators of theRiñonalushtock botnet, Microsoft obtained a court order allowing it to “work with the U.S.Servicio de alguaciles para capturar físicamente la evidencia en el sitio y, en algunos casos, tomar los servidores afectados de los proveedores de alojamiento para su análisis." This enabled investigators to “inspect[] the evidence gathered from the seizures to learn … about the botnet’s operations." Obtaining a copy of a hacker’s server, particularly a C2 server tied to a botnet, can provide critical intelligence to network defenders and cybersecurity professionals, such as the number of computers that have been infected and the methods the botnet uses to propagate its malware.Esta inteligencia es particularmente útil para grandes empresas de tecnología que deben defender los ecosistemas en expansión contra las amenazas en constante evolución.
Improvement ofRiñonalelations With Customers, Law Enforcement and thePAGublic
Los derribos de botnet civil proporcionan un importante impulso de relaciones públicas a las empresas que pueden promocionar estos casos como evidencia de su compromiso con la ciberseguridad.Por ejemplo, Meta presentó recientemente dos demandas (en diciembre de 2021 y febrero de 2022) contra los acusados de John Doe involucrados en esquemas de phishing masivos.En otros casos recientes, la compañía ha demandado a entidades que han empleado herramientas de raspado de datos y kits de desarrollo de software malicioso para recopilar información del usuario en violación de los términos de servicio de Meta.Es probable que estos casos formen parte de una estrategia más amplia para demostrar el compromiso de Meta con la privacidad del consumidor..De hecho, Meta ha celebrado estas acciones legales como "un paso más en nuestros esfuerzos para proteger la seguridad y la privacidad de las personas, enviar un mensaje claro a aquellos que intentan abusar de nuestra plataforma y aumentar la responsabilidad de aquellos que abusan de la tecnología.."
La construcción de un historial de ser delantero en la ciberseguridad puede pagar dividendos en el futuro, especialmente cuando ocurre el inevitable incidente de seguridad de datos.Cuando una empresa es pirateada, o cuando los delincuentes usan la plataforma, los productos o la infraestructura de una empresa para victimizar a terceros, la compañía inevitablemente será llamada a cuentas por los reguladores, los abogados de los demandantes e incluso los comités del Congreso.Cuando llegue ese día, es fundamental un registro largo y establecido de ser un líder e innovador en ciberseguridad.Combatir a los piratas informáticos a través de un litigio civil afirmativo es una excelente manera de construir ese historial mientras hace de Internet un lugar más seguro para todos.