Ciberdelincuencia: Europol arresta a 12 personas por actividades de ransomware que posiblemente afecten a 1.800 víctimas en 71 países


La fuerza policial europea declaró que las actividades de ransomware estaban dirigidas a infraestructuras críticas y, en su mayoría, a grandes corporaciones.

El virus Malware Ransomware encripta los archivos y muestra el candado con el código en el código binario y el fondo del engranaje.  Ilustración de vector concepto de ciberdelincuencia y seguridad cibernética.

Imagen: nicescene, Getty Pictures / iStockphoto

Europol, la agencia policial europea, anunció hoy las detenciones de 12 personas involucradas en actividades de ransomware en todo el mundo. Se cree que los presuntos delincuentes cibernéticos han afectado a más de 1.800 víctimas en 71 países, según el comunicado de prensa de Europol esas víctimas son en su mayoría grandes corporaciones e infraestructuras críticas. El Servicio Nacional de Investigación Prison de Noruega, comúnmente conocido como Kripos, se comunicó e informó que una de las víctimas period Hydro. en marzo de 2019.

La operación tuvo lugar el 26 de octubre en Ucrania y Suiza. Además de los arrestos, las fuerzas del orden incautaron cinco vehículos de lujo, más de $ 52,000 y dispositivos electrónicos que serán analizados forense para agregar a la investigación y posiblemente traer nuevas investigaciones.

VER: Lista de comprobación: protección de la información electronic (TechRepublic High quality)

Los sospechosos de ciberdelincuentes y sus métodos

El fraude de ransomware necesita que los ciberdelincuentes tengan diferentes roles, ya que los grupos de ransomware son organizaciones delictivas altamente organizadas. De hecho, las 12 personas involucradas mostraron varias capacidades: habilidades de prueba de penetración para comprometer a las corporaciones objetivo a través de ataques de fuerza bruta, inyecciones de SQL, lanzamiento de campañas de correo electrónico de phishing y robo de credenciales para comprometer aún más los sistemas.

Europol informó que algunos de los presuntos sospechosos han estado utilizando el marco de write-up-explotación Cobalt Strike y han desplegado malware como el infame Trickbot, en un intento de pasar desapercibidos y aumentar sus privilegios en los sistemas objetivo.

Luego probarían el entorno de la purple informática antes de pasar a la siguiente etapa: implementar el ransomware. En este caso se han utilizado ransomware LockerGoga, MegaCortex y Dharma, entre otros.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

En esta etapa, supuestamente presentan una nota de rescate a la empresa objetivo, que exige el pago en criptomoneda Bitcoin a cambio de las claves de descifrado adecuadas necesarias para desbloquear los archivos rescatados y volverlos utilizables.

El impacto en las corporaciones es severo. Como ejemplo sorprendente, el ataque contra la empresa noruega Hydro en 2019, que no pagó el rescate, tuvo un costo estimado de aproximadamente $ 52 millones.

Un esfuerzo conjunto de ocho países

Estos arrestos son el esfuerzo conjunto de ocho países: Francia, Alemania, Países Bajos, Noruega, Suiza, Ucrania, Reino Unido y Estados Unidos.

En septiembre de 2019 se creó un equipo de investigación conjunto, iniciado por las autoridades francesas, entre Francia, Noruega, Reino Unido y Ucrania. Posteriormente, el JIT ha trabajado en conjunto en paralelo en investigaciones independientes de las autoridades de los EE. UU. Y los Países Bajos para descubrir las actividades delictivas de estos sospechosos y establecer una estrategia conjunta.

VER: El ataque Colonial Pipeline nos recuerda las vulnerabilidades de nuestra infraestructura crítica (TechRepublic)

La operación fue coordinada por Europol y Eurojust, la Agencia Europea de Justicia Penal, porque las víctimas estaban diseminadas por todo el mundo. Se llevó a cabo en el marco de la Plataforma multidisciplinar europea contra las amenazas criminales.

EMPACT es una iniciativa de seguridad permanente impulsada por los estados miembros de la UE. Su objetivo es identificar, priorizar y abordar las amenazas (incluido el ciberdelito) planteadas por el crimen internacional organizado.

¿Más por venir con estas investigaciones?

Las investigaciones en curso aún están en curso, que consisten principalmente en realizar investigaciones forenses informáticas sobre los dispositivos electrónicos incautados y la gran cantidad de datos que están asegurados en relación con la operación.

Håvard Aalmo, jefe de la sección de delitos informáticos de Kripos, dijo que tal operación, que es meticulosa y minuciosa, muestra que es posible proceder con un informe de tales ataques, como hizo Hydro.

VER: Cómo preparar a su equipo para abordar un problema de seguridad importante (TechRepublic)

Aalmo agregó que este tipo de delitos deben resolverse mediante la cooperación policial internacional. Este grupo ha apuntado a empresas en 71 países, en los que no es necesario que estén para llevar a cabo estos ataques. Por tanto, la policía debe cooperar más allá de las fronteras nacionales.

Actividad de ransomware cada vez más expuesta

Hace unos días, los funcionarios encargados de hacer cumplir la ley y los especialistas cibernéticos piratearon la crimson de REvil. Ese grupo de ransomware period «parte exceptional de la lista«según Tom Kellerman, asesor del Servicio Secreto de EE. UU. sobre investigaciones de delitos cibernéticos y jefe de estrategia de ciberseguridad en VMware. Durante el segundo trimestre del año, el 73% de las detecciones de ransomware estaban relacionadas con la familia REvil / Sodinokibi, según Informe de investigación de amenazas avanzadas más reciente de McAfee.

Previamente este mes, la Casa Blanca celebró una cumbre con más de 30 países para abordar el difícil tipo de delito de ransomware, reconociendo la necesidad de una acción urgente contra este tipo de amenaza. Además, se ha planteado la necesidad de una mayor colaboración entre los gobiernos y las empresas privadas.

Recomendaciones sobre cómo detectar y prevenir ransomware

  • Utilice la autenticación multifactor siempre que sea posible. Dado que los ciberdelincuentes a menudo obtienen acceso a un sistema al obtener credenciales de usuario legítimo, MFA puede ayudar a proteger el sistema prohibiendo a los delincuentes iniciar sesión con una cuenta de usuario legítima.

  • No permita que los datos confidenciales sean accesibles a través de World wide web. El aislamiento de datos es importante y debe realizarse de forma continua.

  • Tenga un sistema de respaldo seguro para todos los datos importantes. También recuerde que los atacantes a menudo desactivan los sistemas de respaldo antes de atacar, por lo que cualquier cambio en la política de respaldo debe generar alertas al personalized de seguridad.

  • Asegúrese de que todas sus aplicaciones y activos estén actualizados y aplique los parches lo más rápido posible para evitar ser víctima de una vulnerabilidad de software.

  • Trabaja con una estrategia de confianza cero. La confianza cero es un paradigma de ciberseguridad centrado en la protección de los recursos y la premisa de que la confianza nunca se otorga implícitamente, sino que debe evaluarse continuamente. Ayuda a hacer cumplir el acceso con privilegios mínimos en todas las aplicaciones, plataformas en la nube, sistemas y bases de datos.

  • Audite su sistema en busca de vulnerabilidades para ayudar a garantizar que los ciberdelincuentes no utilicen ningún program sencillo o una configuración incorrecta para penetrar en la corporación.

  • Aumente la conciencia de los empleados mediante la ejecución de campañas de seguridad para educarlos y concéntrese en los correos electrónicos de phishing, ya que es una de las formas más comunes de comprometer inicialmente un sistema.

Ver también



Enlace a la noticia original