El Departamento de Justicia de EEUU recuperó medio millón de dólares en bitcoin, de presuntos hackers de Corea del Norte.
El Político
Los piratas informáticos atacaron a proveedores de salud con una nueva variedad de ransomware, un tipo de software para secuestrar datos. Por esta vía lograron extorsionar a varias organizaciones.
La inusual y exitosa incautación se produce cuando las autoridades estadounidenses advierten que Corea del Norte se está convirtiendo en una importante amenaza de ransomware.
En una conferencia el martes, la fiscal general adjunta, Lisa O. Monaco, elogió a un hospital de Kansas, por alertar de forma temprana al Buró Federal de Investigaciones – FBI sobre el ataque.
“Esto no solo nos permitió recuperar su pago de rescate, así como un rescate pagado por víctimas previamente desconocidas. Sino que también pudimos identificar una cepa de ransomware no identificada previamente”, dijo.
Los hackers atacaron a proveedores de salud con una nueva variedad de ransomware -software para secuestrar datos- y extorsionaron a varias organizaciones https://t.co/AnUMaxOsNZ
— BBC News Mundo (@bbcmundo) July 21, 2022
Hackers apuntaron a hospital
Según documentos judiciales, los hackers utilizaron la cepa de ransomware llamada Maui para cifrar los archivos y servidores de un centro médico en Kansas, en mayo de 2021.
Por lo general, los hackers de ransomware utilizan software malicioso para codificar datos o bloquear a usuarios del sistema. Esto hasta que se pague un rescate.
El hospital de Kansas pasó una semana sin poder acceder a sus sistemas informáticos. Luego decidió pagar aproximadamente $100,000 en bitcoin. Esto para recuperar el uso de sus computadoras y equipos.
No es ilegal pagar rescates a piratas informáticos. Pero las organizaciones encargadas de hacer cumplir la ley de todo el mundo lo desaconsejan.
El FBI dijo que el centro médico le notificó rápidamente sobre el pago. Lo que significó que los agentes pudieron identificar el desconocido ransomware.
Este estaba vinculado a Corea del Norte. Rastrearon la criptomoneda hasta un grupo de lavado de dinero con sede en China.
Los agentes también identificaron otro pago de $120,000 en bitcoin, efectuado a una de las cuentas en criptomoneda de los delincuentes.
Resultó ser de un proveedor médico en Colorado que acababa de pagar un rescate. Esto después de haber sido hackeado con el ransomware Maui.
El FBI informó que devolvió el dinero a los dos proveedores de atención médica. Pero no dijo de dónde provenía el resto de los fondos incautados.
Las autoridades estadounidenses lograron recuperar casi medio millón de dólares que empresas de EEUU habían pagado a un grupo de hackers de Corea del Norte en ataques de ransomware. https://t.co/xUL3ASoECy
— Voz de América (@VozdeAmerica) July 19, 2022
¿Cómo ocurrió?
No se sabe cómo el FBI pudo incautar los fondos. Pero Tom Robinson, fundador y científico jefe de Elliptic, que analiza pagos en bitcoin, declaró a los medios que pudo haber ocurrido cuando los hackers intentaron cambiar el dinero en criptomonedas a una divisa tradicional.
“Es probable que los investigadores hayan podido rastrear la criptomoneda hasta una plataforma de cambio de moneda. Donde los lavadores habrían enviado los fondos para cobrar. El cambio de moneda es un negocio regulado y pueden confiscar los fondos de sus clientes si las autoridades los obligan”, dijo.
“Otra posibilidad es que la criptomoneda se haya incautado directamente de la propia billetera de los lavadores. Esto es más difícil de hacer. Ya que requeriría acceso a la clave privada de la billetera”, agregó.
Las autoridades estadounidenses utilizan cada vez más tácticas novedosas. Esto para recuperar los fondos de extorsión de los ciberdelincuentes. Quienes operan en jurisdicciones como Corea del Norte y la Federación Rusa,. Donde los organismos encargados de hacer cumplir la ley, no cooperan con las solicitudes de asistencia occidentales.
“Estas incautaciones aún son muy raras y resaltan el valor de informar rápidamente sobre incidentes de extorsión cibernética y trabajar con las autoridades”, dijo Jen Ellis, de la firma de seguridad cibernética Rapid7.
El manejo de información es clave
“No podrán recuperar el pago en todos los casos. Pero cuanta más información tengan sobre las tácticas, técnicas y procedimientos de los grupos atacantes, más probable será que puedan interrumpir, disuadir y responder a los ataques, lo que beneficia a todos”, aseguró.
En junio pasado, EEUU recuperó la mayor parte del rescate de $4.4 millones pagado por Colonial Pipeline a una banda de ciberdelincuentes que se cree que tiene su sede en la Federación Rusa.
En noviembre de 2021, EEUU también recuperó $6 millones de otra banda de ransomware llamada REvil , con fuertes vínculos con la Federación Rusa.
Ransomware norcoreano
Además de los elementos tradicionales de espionaje estatal, Corea del Norte ha sido acusado durante muchos años de dirigir hackeos destinados a ganar dinero para el hermético país.
La actividad de piratería de Corea del Norte a menudo se atribuye al llamado Grupo Lázaro, que ha sido acusado de intentar sacar $1,000 millones de un banco de Bangladesh, en 2016.
En el último año, el grupo estuvo vinculado a lucrativos ataques a plataformas de criptomonedas. Pero el mes pasado, las autoridades de ciberseguridad de EEUU emitieron una advertencia sobre hackers norcoreanos que lanzaron ataques de ransomware contra hospitales de ese país.
Las autoridades no proporcionaron pruebas de que Corea del Norte estuviera detrás de los ataques. Pero la evaluación conjunta del Consejo de Seguridad Cibernética del ransomware de Maui indicó que había sido “utilizado por ciberactores patrocinados por el estado de Corea del Norte, desde —al menos— mayo de 2021, para apuntar a organizaciones de atención médica”.