El FBI y sus socios internacionales han desmantelado, al menos temporalmente, la red de una prolífica banda de ransomware en la que se infiltraron el año pasado, ahorrando a víctimas como hospitales y distritos escolares un potencial de 130 millones de dólares en pagos de rescates, anunciaron el jueves el fiscal general Merrick Garland y otros funcionarios estadounidenses.
“En pocas palabras, utilizando medios legales, hemos hackeado a los piratas informáticos”, dijo la vicefiscal general Lisa Monaco en una conferencia de prensa.
Los funcionarios dijeron que el sindicato objetivo, conocido como Hive, opera una de las cinco redes de ransomware más importantes del mundo y ha atacado fuertemente a hospitales y otros proveedores de atención médica. El FBI accedió discretamente a su panel de control en julio y pudo obtener claves de software que utilizó con socios alemanes y de otros países para descifrar las redes de unas 1.300 víctimas en todo el mundo, dijo el director del FBI, Christopher A. Wray.
No está claro cómo afectará el desmantelamiento a las operaciones a largo plazo de Hive. Las autoridades no anunciaron detenciones, pero dijeron que, para perseguir los delitos, estaban construyendo un mapa de los administradores que gestionan el software y los afiliados que infectan objetivos y negocian con las víctimas.
“Creo que cualquier persona relacionada con Hive debería estar preocupada porque esta investigación está en curso”, dijo Wray.
El miércoles por la noche, los agentes del FBI incautaron infraestructura informática en Los Ángeles que se utilizó para apoyar la red. Se incautaron dos sitios web oscuros de Hive: uno utilizado para filtrar datos de víctimas que no pagaban y otro para negociar pagos de extorsión.
“La ciberdelincuencia es una amenaza en constante evolución, pero como he dicho antes, el Departamento de Justicia no escatimará recursos para llevar ante la justicia a cualquiera que, en cualquier lugar, tenga como objetivo Estados Unidos con un ataque de ransomware”, dijo Garland.
Dijo que gracias a la infiltración, dirigida por la oficina del FBI en Tampa, Florida, los agentes pudieron en un caso desbaratar un ataque de Hive contra un distrito escolar de Texas, impidiéndole realizar un pago de 5 millones de dólares.
La operación es una gran victoria para el Departamento de Justicia. La plaga del ransomware es el mayor quebradero de cabeza de la ciberdelincuencia mundial, con objetivos como el servicio postal británico, el servicio nacional de salud irlandés y el gobierno de Costa Rica paralizados por sindicatos de habla rusa que cuentan con la protección del Kremlin.
Los delincuentes bloquean, o encriptan, las redes informáticas de las víctimas, roban datos sensibles y exigen grandes sumas. Su extorsión ha evolucionado hasta el punto de que los datos se roban antes de que se active el ransomware y luego se mantienen como rehenes. Paga en criptomoneda o se hace público.
Como ejemplo de la amenaza de Hive, Garland dijo que la red había impedido que un hospital del Medio Oeste en 2021 aceptara nuevos pacientes en plena pandemia de COVID-19.
El aviso de retirada en línea, que se alterna en inglés y ruso, menciona a Europol y a las fuerzas de seguridad alemanas. La agencia de noticias alemana DPA citó a fiscales de Stuttgart diciendo que especialistas cibernéticos de la ciudad suroccidental de Esslingen fueron decisivos para penetrar en la infraestructura informática criminal de Hive después de que una empresa local fuera víctima.
En un comunicado, Europol afirmó que empresas de más de 80 países, incluidas multinacionales petroleras, se han visto comprometidas por Hive y que las fuerzas de seguridad de 13 países estaban implicadas en la infiltración.
Un aviso del gobierno de los Estados Unidos el año pasado dijo que los actores del ransomware Hive victimizaron a más de 1,300 compañías en todo el mundo desde junio de 2021 hasta noviembre de 2022, recibiendo aproximadamente $ 100 millones en pagos de rescate. Dijo que los criminales que usan el ransomware Hive apuntaron a una amplia gama de empresas e infraestructuras críticas, incluidos el gobierno, la fabricación y especialmente la atención médica.
Aunque el FBI ofreció claves de descifrado a unas 1.300 víctimas de todo el mundo, Wray dijo que solo alrededor del 20% de ellas informaron de posibles problemas a las fuerzas de seguridad.
“Aquí, afortunadamente, todavía pudimos identificar y ayudar a muchas víctimas que no informaron. Pero no siempre es así”, dijo Wray. “Cuando las víctimas nos denuncian las agresiones, podemos ayudarlas a ellas y también a otras personas”.
John Hultquist, jefe de inteligencia de amenazas de la firma de ciberseguridad Mandiant, dijo que la interrupción de Hive no causará una caída importante en la actividad general de ransomware, pero es, sin embargo, “un golpe a un grupo peligroso.”
“Desafortunadamente, el mercado criminal en el corazón del problema del ransomware asegura que un competidor de Hive estará esperando para ofrecer un servicio similar en su ausencia, pero pueden pensarlo dos veces antes de permitir que su ransomware se use para atacar hospitales”, dijo Hultquist.
Pero Brett Callow, analista de la empresa de ciberseguridad Emsisoft, dijo que elpuede reducir la confianza de los ciberdelincuentes en lo que hasta ahora era un negocio de alta rentabilidad y bajo riesgo.
“La información recopilada puede apuntar a afiliados, blanqueadores y otros implicados en la cadena de suministro del ransomware”, dijo Callow.
Allan Liska, analista de Recorded Future, otra empresa de ciberseguridad, predijo acusaciones, si no detenciones, en los próximos meses.
Hay pocos indicadores positivos en la lucha mundial contra el ransomware, pero aquí hay uno: Un análisis de las transacciones de criptomoneda realizado por la empresa Chainalysis reveló que los pagos de extorsión por ransomware disminuyeron el año pasado. Se rastrearon pagos de al menos 456,8 millones de dólares, por debajo de los 765,6 millones de dólares de 2021. Aunque Chainalysis dijo que los verdaderos totales son sin duda mucho más altos, los pagos fueron claramente a la baja. Eso sugiere que más víctimas se niegan a pagar.
El gobierno de Biden se tomó en serio el ransomware en sus niveles más altos hace dos años, después de una serie de ataques de alto perfil que amenazaron la infraestructura crítica y la industria mundial. En mayo de 2021, por ejemplo, los hackers atacaron el mayor oleoducto de combustible del país, provocando que los operadores lo cerraran brevemente y pagaran un rescate multimillonario, que el gobierno estadounidense recuperó posteriormente en gran parte.
Esta semana ha comenzado a trabajar un grupo de trabajo mundial en el que participan 37 países. Está dirigida por Australia, que se ha visto especialmente afectada por el ransomware, incluida una importante aseguradora médica y una empresa de telecomunicaciones. Las medidas policiales convencionales, como detenciones y procesamientos, han hecho poco para frustrar a los delincuentes. La ministra del Interior de Australia, Clare O’Neil, dijo en noviembre que su gobierno estaba pasando a la ofensiva, utilizando agentes de ciberinteligencia y de la policía para “encontrar a estas personas, darles caza y debilitarlas antes de que puedan atacar a nuestro país.”
El FBI ya ha obtenido antes acceso a claves de descifrado. Lo hizo en el caso de un importante ataque de ransomware en 2021 contra Kaseya, una empresa cuyo software gestiona cientos de sitios web. Sin embargo, tuvo que esperar varias semanas para ayudar a las víctimas a desbloquear las redes afectadas.
Bajak informó desde Boston.