Sumas millonarias recuperadas de bandas de ransomware

El Departamento de Justicia de EE. UU. ha anunciado la incautación de aproximadamente 500.000 USD en Bitcoin, pagados por proveedores de atención médica estadounidenses a los operadores del ransomware Maui.

A principios de este mes, el FBI y CISA destacaron a Maui como una nueva operación de ransomware respaldada por Corea del Norte que extorsionaba a las organizaciones occidentales.

Esta operación de ransomware en particular demostró una inclinación hacia las organizaciones de atención médica y de salud pública en su objetivo, lo que provocó interrupciones del servicio que amenazaron la vida.

Como se explica en el anuncio del Departamento de Justicia, el descubrimiento de la nueva variante fue el resultado de un informe de un incidente de seguridad de un hospital de Kansas al FBI.

"Gracias a los informes rápidos y la cooperación de una víctima, el FBI y los fiscales del Departamento de Justicia han interrumpido las actividades de un grupo patrocinado por el estado de Corea del Norte que implementa ransomware conocido como 'Maui'", explicó Lisa O. Monaco, fiscal general adjunta. "Esto no solo nos permitió recuperar su pago de rescate, así como un rescate pagado por víctimas previamente desconocidas, sino que también pudimos identificar un ransomware no identificado previamente".

El hospital de Kansas pagó aproximadamente US$ 100.000 a la pandilla de ransomware de Maui en mayo de 2021 para restaurar su red de TI luego de un ciberataque de cifrado de datos. Gracias a su rápido reporte del incidente al FBI, la policía rastreó otro pago de U$S 120.000 de un proveedor médico en Colorado poco después.

Estos dos pagos y una cantidad no revelada de pagos por valor de U$S 280.000 dólares finalmente se incautaron en mayo de 2022, por lo que la recuperación total fue de aproximadamente medio millón de dólares.

Este caso ilustra la importancia de informar los incidentes de ransomware a las autoridades policiales lo más rápido posible, mientras los indicadores de compromiso están frescos y los pagos se pueden rastrear más fácilmente.

Además, seguir el proceso de lavado de dinero después del pago del rescate puede ayudar a los agentes de la ley a identificar a los actores de la amenaza, acusarlos y, en ocasiones, arrestarlos.

Las fuerzas del orden han recuperado con éxito los pagos de rescate en numerosas ocasiones en los últimos años, siendo los casos más notables:

• Incautación de pagos de rescate a un destacado afiliado de NetWalker.
• Recuperación de U$S 4.400.000 pagados por Colonial Pipeline al grupo de ransomware DarkSide.
• Incautación de U$S 6.000.000 de un socio de REvil que había realizado el ataque Kaseya.
• Incautación de U$S 2.300.000 de un afiliado de alto nivel de REvil y GandCrab.

Si bien la cantidad recuperada no es tan significativa esta vez, muestra cuán rápido el informe de incidentes de seguridad permite a las fuerzas del orden seguir más fácilmente el rastro del dinero para recuperar los pagos de rescate e identificar a los atacantes y sus tácticas.

Fuente: BC

Suscríbete a nuestro Boletín