El Departamento de Justicia de EU confiscó medio millón de dólares en bitcoin de presuntos hackers de Corea del Norte.
Los piratas informáticos atacaron a proveedores de salud con una nueva variedad de ransomware -software para secuestrar datos- y extorsionaron a varias organizaciones.
La inusual y exitosa incautación se produce cuando las autoridades estadounidenses advierten que Corea del Norte se está convirtiendo en una importante amenaza de ransomware.
En una conferencia el martes, la fiscal general adjunta Lisa O. Monaco elogió a un hospital de Kansas -al que no identificó- por alertar temprano al FBI sobre el ataque.
“Esto no solo nos permitió recuperar su pago de rescate, así como un rescate pagado por víctimas previamente desconocidas, sino que también pudimos identificar una cepa de ransomware no identificada previamente”, dijo.
Hackers apuntaron a hospital
Según documentos judiciales, los hackers utilizaron la cepa de ransomware llamada Maui para cifrar los archivos y servidores de un centro médico en Kansas en mayo de 2021.
Por lo general, los hackers de ransomware utilizan software malicioso para codificar datos o bloquear a usuarios del sistema hasta que se pague un rescate.
El hospital de Kansas pasó una semana sin poder acceder a sus sistemas informáticos. Luego decidió pagar aproximadamente US$100.000 en bitcoin para recuperar el uso de sus computadoras y equipos.
No es ilegal pagar rescates a piratas informáticos, pero las organizaciones encargadas de hacer cumplir la ley de todo el mundo lo desaconsejan.
El FBI dijo que el centro médico le notificó rápidamente sobre el pago, lo que significó que los agentes pudieron identificar el desconocido ransomware vinculado a Corea del Norte y rastrear la criptomoneda hasta un grupo de lavado de dinero con sede en China.
Los agentes también identificaron otro pago de US$120.000 en bitcoin efectuado a una de las cuentas en criptomoneda de los delincuentes.
Resultó ser de un proveedor médico en Colorado que acababa de pagar un rescate después de haber sido hackeado con el ransomware Maui.
El FBI informó que devolvió el dinero a los dos proveedores de atención médica, pero no dijo de dónde provenía el resto de los fondos incautados.
¿Cómo ocurrió?
No se sabe cómo el FBI pudo incautar los fondos, pero Tom Robinson, fundador y científico jefe de Elliptic, que analiza pagos en bitcoin, le dijo a la BBC que pudo haber ocurrido cuando los hackers intentaron cambiar el dinero en criptomonedas a una divisa tradicional.
“Es probable que los investigadores hayan podido rastrear la criptomoneda hasta una plataforma de cambio de moneda donde los lavadores habrían enviado los fondos para cobrar. El cambio de moneda es un negocio regulado y pueden confiscar los fondos de sus clientes si las autoridades los obligan”, dijo.
La incautación de criptomonedas robadas generalmente implica arrestar a los ciberdelincuentes para obtener acceso a sus billeteras digitales.
“Otra posibilidad es que la criptomoneda se haya incautado directamente de la propia billetera de los lavadores. Esto es más difícil de hacer, ya que requeriría acceso a la clave privada de la billetera”, agregó.
Las autoridades estadounidenses utilizan cada vez más nuevas tácticas para recuperar los fondos de extorsión de los ciberdelincuentes que operan en jurisdicciones como Corea del Norte y Rusia, donde los organismos encargados de hacer cumplir la ley no cooperan con las solicitudes de asistencia occidentales.
“Estas incautaciones aún son muy raras y resaltan el valor de informar rápidamente sobre incidentes de extorsión cibernética y trabajar con las autoridades”, dijo Jen Ellis, de la firma de seguridad cibernética Rapid7.
“No podrán recuperar el pago en todos los casos, pero cuanta más información tengan sobre las tácticas, técnicas y procedimientos de los grupos atacantes, más probable será que puedan interrumpir, disuadir y responder a los ataques, lo que beneficia a todos”, aseguró.
En junio pasado, EU recuperó la mayor parte del rescate de 4.4 millones de dólares pagado por Colonial Pipeline a una banda de ciberdelincuentes que se cree que tiene su sede en Rusia.
En noviembre de 2021, EU también recuperó 6 millones de dólaresde otra banda de ransomware llamada REvil con fuertes vínculos con Rusia.
Ransomware norcoreano
Además de los elementos tradicionales de espionaje estatal, Corea del Norte ha sido acusado durante muchos años de dirigir hackeos destinados a ganar dinero para el hermético país.
La actividad de piratería de Corea del Norte a menudo se atribuye al llamado Grupo Lázaro, que ha sido acusado de intentar sacar mil millones de dólares de un banco de Bangladesh en 2016.
En el último año, el grupo estuvo vinculado a lucrativos ataques a plataformas de criptomonedas, pero el mes pasado, las autoridades de ciberseguridad de EU emitieron una advertencia sobre hackers norcoreanos que lanzaron ataques de ransomware contra hospitales de ese país.
Las autoridades no proporcionaron pruebas de que Corea del Norte estuviera detrás de los ataques, pero la evaluación conjunta del Consejo de Seguridad Cibernética del ransomware de Maui indicó que había sido “utilizado por ciberactores patrocinados por el estado de Corea del Norte desde al menos mayo de 2021 para apuntar a organizaciones de atención médica”.