FBI detectó países desde donde se habría atacado sistemas de la CCSS

(CRHoy.com) El amplio operativo policial para desmantelar a la organización criminal cibernética que se acreditó el ataque a los sistemas de la Caja Costarricense de Seguro Social (CCSS), permitió al FBI y policías de otros países identificar los lugares donde tendrían bases de operaciones los piratas.

En un amplio comunicado liberado este jueves por el Departamento de Justicia de Estados Unidos, confirmaron que además de las operaciones realizadas desde Estados Unidos, se recibió la colaboración de la Policía Criminal Federal Alemana y el Cuartel General de Policía de Reutlingen-CID Esslingen, así como de la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos.

Además señalan que recibieron apoyo de autoridades de otros países como la Policía Regional de Peel de Canadá, la Real Policía Montada de Canadá, la Dirección Francesa Central de la Policía Judicial, la Oficina de Policía Criminal de Lituania y otras de Estados Unidos.

🚨 Cybercriminals stung as HIVE #ransomware infrastructure shut down.

🌍 The international operation involved authorities from 13 countries.

🔓 Law enforcement identified the decryption keys & shared them with many victims.

Details ➡️ https://t.co/eXnTuiVLWt#EMPACT pic.twitter.com/pJGdv0VXX2

— Europol (@Europol) January 26, 2023

Las autoridades norteamericanas aseguran que Hive, grupo delictivo interceptado, habría irrumpido en sistemas de más 1.500 víctimas de 80 países, incluidos hospitales, distritos escolares, empresas financieras e infraestructura crítica.

"Desde finales de julio de 2022, el FBI penetró en las redes informáticas de Hive, capturó sus claves de descifrado y las ofreció a las víctimas en todo el mundo, evitando que las víctimas tuvieran que pagar los 130 millones de dólares exigidos por el rescate. Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban siendo atacadas. Además, el FBI distribuyó más de 1000 claves de descifrado adicionales a víctimas anteriores de Hive", informó el Departamento de Justicia.

En un comunicado revelaron que desde junio de 2021, el grupo de ransomware Hive obtuvo más de $100 millones cobrados a sus 1.500 víctimas en rescates.

"Los ataques de Hive ransomware han causado importantes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque", informaron.

Doble extorsión

En el escrito detallaron que los delincuentes emplearon un modelo de ataque de doble extorsión y siempre buscaban los datos más sensible para poder presionar con el pago de las víctimas.

"Antes de cifrar el sistema de la víctima, el afiliado filtraría o robaría datos confidenciales. Luego, el afiliado buscó un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados. Los actores de Hive con frecuencia se enfocaban en los datos más confidenciales en el sistema de una víctima para aumentar la presión para pagar. Después de que una víctima paga, los afiliados y administradores dividen el rescate 80/20. Hive publicó los datos de las víctimas que no pagan en el sitio de fugas de Hive"

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), los afiliados de Hive obtuvieron acceso inicial a las redes de las víctimas a través de varios métodos, que incluyen: inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota; explotar las vulnerabilidades de FortiToken; y enviar correos electrónicos de phishing con archivos adjuntos maliciosos.