WASHINGTON (AP) — El FBI y sus socios internacionales han interrumpido al menos temporalmente la red de una prolífica banda de ransomware en la que se infiltraron el año pasado, ahorrando a las víctimas, incluidos hospitales y distritos escolares, un pago potencial de $130 millones en pagos de rescate, dijo el fiscal general Merrick Garland y otros funcionarios estadounidenses. anunció el jueves.
“En pocas palabras, utilizando medios legales, pirateamos a los piratas informáticos”, dijo la fiscal general adjunta Lisa Monaco en una conferencia de prensa.
Las autoridades dijeron que el sindicato objetivo, conocido como Hive, se encuentra entre las cinco principales redes de ransomware del mundo y se ha centrado en gran medida en la atención médica. El FBI accedió silenciosamente a su panel de control en julio y pudo obtener claves de software que usó con socios alemanes y otros para descifrar las redes de unas 1300 víctimas en todo el mundo, dijo el director del FBI, Christopher Wray.
No está claro cómo afectará el cierre a las operaciones a largo plazo de Hive. Los funcionarios no anunciaron arrestos, pero dijeron que, para continuar con los juicios, estaban construyendo un mapa de los administradores que administran el software y los afiliados que infectan a los objetivos y negocian con las víctimas.
“Creo que cualquier persona involucrada con Hive debería estar preocupada porque esta investigación está en curso”, dijo Wray.
El miércoles por la noche, agentes del FBI incautaron servidores informáticos en Los Ángeles que se utilizaban para dar soporte a la red. Se incautaron dos sitios web oscuros de Hive: uno utilizado para filtrar datos de víctimas que no pagaban, el otro para negociar pagos de extorsión.
“El delito cibernético es una amenaza en constante evolución, pero como dije antes, el Departamento de Justicia no escatimará recursos para llevar ante la justicia a cualquier persona en cualquier lugar que se dirija a los Estados Unidos con un ataque de ransomware”, dijo Garland.
Dijo que la infiltración, dirigida por la oficina del FBI en Tampa, permitió a los agentes en un caso interrumpir un ataque de Hive contra un distrito escolar de Texas, evitando que hiciera un pago de $5 millones.
Es una gran victoria para el Departamento de Justicia. El ransomware es el dolor de cabeza por ciberdelincuencia más grande del mundo con todo, desde el servicio postal de Gran Bretaña y la red nacional de salud de Irlanda hasta el gobierno de Costa Rica paralizado por sindicatos de habla rusa que disfrutan de la protección del Kremlin.
Los delincuentes bloquean o cifran las redes de las víctimas, roban datos confidenciales y exigen grandes sumas de dinero. Su extorsión ha evolucionado hasta el punto de que los datos se roban antes de que se active el ransomware y luego se toman como rehenes. Paga en criptomoneda o se publica públicamente.
Como ejemplo de una picadura de Hive, Garland dijo que impidió que un hospital del medio oeste aceptara nuevos pacientes en 2021 en el punto álgido de la epidemia de COVID-19.
El aviso de eliminación en línea, alternando en inglés y ruso, menciona a Europol y a los socios alemanes encargados de hacer cumplir la ley. La agencia de noticias alemana dpa citó a los fiscales de Stuttgart diciendo que los ciberespecialistas en la ciudad de Esslingen, en el suroeste del país, fueron decisivos para penetrar la infraestructura de TI criminal de Hive después de que una empresa local fuera victimizada.
En un comunicado, Europol dijo que empresas en más de 80 países, incluidas multinacionales petroleras, se han visto comprometidas por Hive y que las fuerzas del orden de 13 países estaban involucradas en la infiltración.
Un aviso del gobierno de EE . UU . el año pasado dijo que los actores del ransomware Hive victimizaron a más de 1,300 empresas en todo el mundo desde junio de 2021 hasta noviembre de 2022, obteniendo alrededor de $ 100 millones en pagos. Los delincuentes que usaban las herramientas de ransomware como servicio de Hive se dirigieron a una amplia gama de empresas e infraestructura crítica, incluidos el gobierno, la fabricación y, especialmente, la atención médica.
Aunque el FBI ofreció claves de descifrado a unas 1300 víctimas en todo el mundo, Wray dijo que solo alrededor del 20% informó problemas potenciales a las fuerzas del orden.
“Aquí, afortunadamente, todavía pudimos identificar y ayudar a muchas víctimas que no denunciaron. Pero ese no es siempre el caso”, dijo Wray. “Cuando las víctimas nos denuncian ataques, podemos ayudarlas a ellas y a otros también”.
Las víctimas a veces pagan rescates en silencio sin notificar a las autoridades, incluso si han restaurado rápidamente las redes, porque los datos que les roban podrían ser extremadamente dañinos para ellos si se filtran en línea. El robo de identidad es uno de los riesgos.
John Hultquist, jefe de inteligencia de amenazas de la firma de seguridad cibernética Mandiant, dijo que la interrupción de Hive no causará una caída importante en la actividad general de ransomware, pero sin embargo es «un golpe para un grupo peligroso».
“Desafortunadamente, el mercado criminal en el corazón del problema del ransomware asegura que un competidor de Hive estará listo para ofrecer un servicio similar en su ausencia, pero pueden pensarlo dos veces antes de permitir que su ransomware se use para apuntar a hospitales”, dijo Hultquist.
Pero el analista Brett Callow de la firma de seguridad cibernética Emsisoft dijo que la operación puede disminuir la confianza de los delincuentes de ransomware en lo que ha sido un negocio de muy alta recompensa y bajo riesgo. «La información recopilada puede apuntar a afiliados, lavadores y otros involucrados en la cadena de suministro de ransomware».
Allan Liska, analista de Recorded Future, otro equipo de seguridad cibernética, pronosticó acusaciones, si no arrestos reales, en los próximos meses.
Hay pocos indicadores positivos en la lucha global contra el ransomware, pero aquí hay uno: un análisis de las transacciones de criptomonedas realizado por la firma Chainalysis encontró que los pagos de extorsión de ransomware se redujeron el año pasado. Rastreó pagos de al menos $ 456,8 millones, por debajo de los $ 765,6 millones en 2021. Si bien Chainalysis dijo que los totales reales son ciertamente mucho más altos, los pagos claramente disminuyeron. Eso sugiere que más víctimas se niegan a pagar.
La administración Biden se tomó en serio el ransomware en sus niveles más altos hace dos años después de que una serie de ataques de alto perfil amenazaran la infraestructura crítica y la industria global. En mayo de 2021, por ejemplo, los piratas informáticos atacaron el oleoducto de combustible más grande del país , lo que provocó que los operadores lo cerraran brevemente y realizaran un pago de rescate multimillonario, que luego el gobierno de EE. UU. recuperó en gran medida.
Un grupo de trabajo global que involucra a 37 naciones comenzó a trabajar esta semana. Está liderado por Australia , que se ha visto particularmente afectada por el ransomware, incluida una importante aseguradora médica y de telecomunicaciones. Las medidas convencionales de aplicación de la ley, como los arrestos y los enjuiciamientos, han hecho poco para frustrar a los delincuentes. La ministra del interior de Australia, Clare O’Neil, dijo en noviembre que su gobierno iba a la ofensiva, usando ciberinteligencia y agentes policiales para » encontrar a estas personas, cazarlas y debilitarlas antes de que puedan atacar nuestro país».
El FBI ha obtenido acceso a claves de descifrado antes. Lo hizo en el caso de un importante ataque de ransomware en 2021 contra Kaseya, una empresa cuyo software ejecuta cientos de sitios web. Sin embargo, hubo que esperar varias semanas para ayudar a las víctimas a desbloquear las redes afectadas .
