El presunto propietario y superadministrador del foro clandestino de hacking BreachForums ha sido arrestado, según los informes.

El FBI arrestó a un individuo llamado Conor Brian FitzPatrick, quien confirmó a las fuerzas del orden haber estado usando el alias pompompurin, el propietario y administrador de BreachForums.

Los activos de los ciberdelincuentes acusados ​​fueron congelados y enfrentan prohibiciones de viaje. Las sanciones también prohíben que las empresas y organizaciones en los EE. UU. y el Reino Unido pongan fondos a disposición de las siete personas, incluidos los pagos de extorsión realizados en criptomoneda.

Según los informes, Vitaly Kovalev, Maksim Mikhailov, Valentin Karyagin, Mikhail Iskritskiy, Dmitry Pleshevskiy, Ivan Vakhromeyev y Valery Sedletski son miembros de la Trickbot, banda de ciberdelincuencia con sede en Rusiaque ahora se cree que está afiliado a una única red conectada a la Ryuk y (supuestamente) disolvió Conti grupos de ransomware. El grupo está acusado de fraude, lavado de dinero y desarrollo de herramientas de piratería maliciosas.

La herramienta de malware troyano del mismo nombre de Trickbot se diseñó originalmente para capturar credenciales bancarias en línea, pero desde entonces ha evolucionado hasta convertirse en una empresa de malware expansiva responsable de infectando millones de computadoras en todo el mundo. El Departamento del Tesoro de los Estados Unidos alega que Trickbot apuntó a hospitales durante el apogeo de la pandemia de covid en 2020, con tres instalaciones médicas de Minnesota obligadas a desviar ambulancias debido a la consiguiente interrupción de sus redes telefónicas e informáticas.

Las autoridades de EE. UU. también dieron a conocer una acusación contra Kovalev, una «figura importante» dentro de Trickbot, también conocida como «Bentley», que ahora está acusada de un cargo de conspiración para cometer fraude bancario y ocho cargos de fraude bancario. Los siete acusados ​​sancionados se encuentran en Rusia, que no comparte un tratado de extradición con EE. UU. o el Reino Unido.

“Al sancionar a estos ciberdelincuentes, les enviamos una señal clara a ellos y a otras personas involucradas en el ransomware de que tendrán que rendir cuentas”, dijo el secretario de Relaciones Exteriores del Reino Unido, James Cleverly, en un comunicado. “Estos ciberataques cínicos causan un daño real a la vida y el sustento de las personas. Siempre pondremos nuestra seguridad nacional en primer lugar al proteger al Reino Unido y a nuestros aliados del crimen organizado grave, cualquiera que sea su forma y donde sea que se origine”.

Las autoridades tanto del Reino Unido como de los Estados Unidos también dijeron el jueves que los miembros actuales del grupo Trickbot están conectados con los servicios de inteligencia de Rusia. “Los preparativos del Trickbot Group en 2020 los alinearon con los objetivos estatales rusos y la selección realizada anteriormente por los servicios de inteligencia rusos”, se lee en un comunicado del Tesoro de EE. UU. “Esto incluía apuntar al gobierno de los EE. UU. y a las empresas estadounidenses”.

El Centro Nacional de Seguridad Cibernética del Reino Unido afirma de manera similar que miembros del grupo Conti “Es muy probable que mantengan vínculos con los servicios de inteligencia rusos de quienes probablemente hayan recibido tareas. La selección de ciertas organizaciones, como el Comité Olímpico Internacional, por parte del grupo casi con certeza se alinea con los objetivos del estado ruso”.

Las sanciones son las primeras de su tipo para el Reino Unido y marcan el comienzo de una nueva ola de acción coordinada entre los EE. UU. y el Reino Unido contra el ciberdelito internacional. El mes pasado, las autoridades estadounidenses acusado cripto intercambio Bitzlato de desempeñar un papel fundamental en la facilitación de transacciones para grupos de ransomware afiliados a Rusia como Conti y arrestó al cofundador ruso de Bitzlato por supuestamente procesar $ 700 millones en fondos ilícitos.

Yohann Tritz
09:51, 05 de febrero de 2023

La cantante franco-maliense Aya Nakamura acaba de presentar una denuncia por «chantaje con sextape», tras recibir amenazas y una demanda de rescate de varios miles de euros. Lamentablemente, este tipo de ciberdelito se ha desarrollado mucho en los últimos años según Frans Imbert-Vier, especialista en ciberseguridad.

Accusé de cybercriminalité par la justice américaine, le Français Sébastien Raoult a comparu en personne, assisté d’un traducteur, vendredi 27 janvier, à Seattle (Etat de Washington), devant la juge fédérale, Michelle Peterson, qui lui a signifié les charges pesant contra él.

Un abogado de oficio explicó que el joven de 21 años estaba suplicando » no culpable « en esta etapa del procedimiento. Habiendo mencionado la acusación un «riesgo de fuga»el magistrado decidió que se mantendría detenido hasta la próxima audiencia, prevista para el 3 de abril.

Sébastien Raoult fue detenido el 31 de mayo de 2022 en el aeropuerto de Rabat-Salé a petición de la justicia estadounidense. Fue extraditado por Marruecos el miércoles, a pesar de las fuertes protestas de su familia y su abogado.

Este exalumno de informática, originario de Epinal, está siendo procesado por la justicia estadounidense junto a otros dos ciudadanos franceses, Gabriel Bildstein, de 23 años, y Abdel-Hakim El-Ahmadi, de 22. Los tres hombres están acusados ​​de haber formado el grupo de hackers ShinyHunters y de haber robado, desde 2020, datos confidenciales de sesenta empresas, incluidas algunas ubicadas en el área de Seattle, para revenderlas en la dark web.

Lea también: Artículo reservado para nuestros suscriptores Caso Sébastien Raoult: ¿quiénes son los ShinyHunters, estos ciberdelincuentes especializados en el robo y venta de datos?

La acusación, hecha pública el jueves, detalla precisamente el modus operandi de este grupo de hackers. Según este documento, ShinyHunters había creado sitios web que se asemejaban a las páginas de autenticación de entidades reales. Con correos electrónicos de phishing, atrajeron a los empleados de estas organizaciones a estas páginas y recopilaron sus credenciales.

apuntado por Microsoft

Una vez dentro de los sistemas informáticos de sus víctimas, copiaban los archivos de los clientes y la información financiera, que luego ofrecían a la venta en plataformas como “Raidforums y EmpireMarket, conocidos por albergar ciberdelincuentes y actividades ilegales”.

Lea también: Sébastien Raoult: el abogado del francés detenido en Marruecos se apoderó del Comité contra la Tortura de la ONU

A veces chantajeaban a sus víctimas, exigiendo un rescate en criptomonedas para mantener sus datos fuera del mercado. Para aumentar su notoriedad y sus ganancias, se comunicaron con los medios y publicaron, en una ocasión, un mensaje de protesta en el sitio de una de sus víctimas.

Según varios expertos, apuntaron a la cuenta de Microsoft en la plataforma de intercambio de códigos informáticos Github, el sitio de comercio electrónico de Indonesia Tokopedia, la marca de ropa estadounidense Bonobos o el operador telefónico estadounidense AT&T.

Las autoridades estadounidenses dicen que identificaron a los tres franceses en base a direcciones IP, cuentas vinculadas y discusiones en foros. Enfrentan nueve cargos, entre ellos asociación delictuosa, fraude informático, usurpación de identidad, cada uno punible con penas que van de los dos a los veintisiete años de prisión.

Lea también: Artículo reservado para nuestros suscriptores Caso Sébastien Raoult: tras el dictamen favorable de la justicia marroquí para la extradición a Estados Unidos, su familia reitera su petición de una investigación en Francia

Gabriel Bildstein fue juzgado en Francia en 2019 por la piratería del canal Vevo y el metro Despacito en Youtube. Aquejado de autismo de Asperger, había sido declarado criminalmente irresponsable. Todavía está siendo procesado como parte de la investigación sobre la piratería de la plataforma de criptomonedas Gatehub.

El mundo con AFP

China está acumulando una gran cantidad de vulnerabilidades de seguridad no reveladas para usarlas más tarde contra sus adversarios en Occidente, afirmó Microsoft.

En un informe reciente, la compañía señaló que China ha cambiado recientemente sus leyes para permitir que el gobierno mantenga las fallas recién descubiertas fuera del ojo público. De esa manera, podría usarlo más tarde contra puntos finales vulnerables. (se abre en una pestaña nueva)cuando llegue el momento adecuado.

Los piratas informáticos motivados financieramente con vínculos con un notorio grupo de delitos cibernéticos Conti están reutilizando sus recursos para usarlos contra objetivos en Ucrania, lo que indica que las actividades del actor de amenazas se alinean estrechamente con la invasión del país vecino por parte del Kremlin, informó el miércoles un investigador de Google.

Desde abril, un grupo que los investigadores rastrean como UAC-0098 ha llevado a cabo una serie de ataques dirigidos a hoteles, organizaciones no gubernamentales y otros objetivos en Ucrania, informó CERT UA en el pasado. Algunos de los miembros de UAC-0098 son ex miembros de Conti que ahora están utilizando sus técnicas sofisticadas para apuntar a Ucrania mientras continúa evitando la invasión de Rusia, dijo Pierre-Marc Bureau, investigador de Threat Analysis de Google.

Un cambio sin precedentes

“El atacante ha cambiado recientemente su enfoque para atacar a las organizaciones ucranianas, el gobierno ucraniano y las organizaciones humanitarias y sin fines de lucro europeas”, escribió Bureau. «TAG evalúa que UAC-0098 actuó como intermediario de acceso inicial para varios grupos de ransomware, incluidos Quantum y Conti, una pandilla rusa de ciberdelincuencia conocida como FIN12 / WIZARD SPIDER».

Escribió que «las actividades de UAC-0098 son ejemplos representativos de líneas borrosas entre grupos respaldados por gobiernos y motivados financieramente en Europa del Este, lo que ilustra una tendencia de los actores de amenazas que cambian su objetivo para alinearse con los intereses geopolíticos regionales».

En junio, los investigadores de IBM Security X-Force informaron lo mismo. Descubrió que el grupo Trickbot con sede en Rusia, que, según los investigadores de AdvIntel, fue efectivamente asumido por Conti a principios de este año, había estado «atacando sistemáticamente a Ucrania desde la invasión rusa, un cambio sin precedentes ya que el grupo no había apuntado previamente a Ucrania. .»

Las «campañas de Conti contra Ucrania son notables debido a la medida en que esta actividad difiere del precedente histórico y al hecho de que estas campañas aparecieron específicamente dirigidas a Ucrania con algunas cargas útiles que sugieren un mayor grado de selección de objetivos», IBM Security X-Force. los investigadores escribieron en julio.

Los informes de Google TAG e IBM Security X-Force citan una serie de incidentes. Los enumerados por TAG incluyen:

• Una campaña de phishing por correo electrónico a fines de abril entregó AnchorMail (denominado «LackeyBuilder»). La campaña utilizó señuelos con temas como «Proyecto ‘Ciudadano activo'» y «File_change,_booking».
• Un mes después, una campaña de phishing se dirigió a organizaciones de la industria hotelera. Los correos electrónicos se hicieron pasar por la Policía Cibernética Nacional de Ucrania e intentaron infectar objetivos con el malware IcedID.
• Una campaña de phishing separada se dirigió a la industria hotelera y una ONG ubicada en Italia. Usó una cuenta de hotel comprometida en India para engañar a sus objetivos.
• Una campaña de phishing que se hizo pasar por Elon Musk y su empresa satelital StarLink en un intento de obtener objetivos en los sectores de tecnología, comercio minorista y gobierno de Ucrania para instalar malware.
• Una campaña con más de 10.000 correos electrónicos no deseados se hizo pasar por el Servicio de Impuestos Estatales de Ucrania. Los correos electrónicos tenían un archivo ZIP adjunto que explotaba CVE-2022-30190, una vulnerabilidad crítica conocida como Follina. TAG logró interrumpir la campaña.

Los hallazgos de Google TAG e IBM Security X-Force rastrean documentos filtrados a principios de este año que muestran que algunos miembros de Conti tienen vínculos con el Kremlin.

El ataque informático ocurrido en la noche del sábado al domingo 21 de agosto contra el centro hospitalario Sud-Francilien (CHSF) en Corbeil-Essonnes, que aún no ha sido reivindicado públicamente, sirvió para recordar que los establecimientos de salud están lejos de ser librados por el ransomware, grupos que paralizan los sistemas informáticos y exigen un rescate de sus víctimas.

Lea también: En Essonne, el centro hospitalario Sud-Francilien víctima de un ciberataque, su actividad se ve gravemente interrumpida

Los hospitales son objetivos sensibles y controvertidos, debido a los riesgos potenciales que conlleva la paralización del sistema informático de un establecimiento sanitario: aplazamiento de procedimientos médicos, interrupción del seguimiento de pacientes, apagado o mal funcionamiento de determinados dispositivos, etc. Ataques dirigidos a establecimientos sanitarios son tanto más peligrosos cuanto que los grupos que practican estos intentos de extorsión también roban datos y amenazan con publicarlos para presionar a sus víctimas. Datos que teóricamente pueden contener información personal altamente sensible.

Históricamente, una parte importante de los grupos de ransomware, que generalmente presentan sus actividades como un negocio como cualquier otro, han afirmado que no se dirigen a hospitales ni al sector de la salud en general. Varias pandillas incluso prometieron públicamente esto al comienzo de la pandemia de SARS-CoV-2. “Detendremos todas las actividades dirigidas a organizaciones médicas de cualquier tipo hasta que la situación del virus se estabilice”, afirmó, por ejemplo, el grupo Maze a principios de 2020. En diciembre de 2021, la ONG Cyberpeace Institute había analizado las comunicaciones públicas de los principales actores de este sector, y descubrió que nada menos que doce grupos de ransomware habían declarado que no atacar al sector salud. Todos ellos, sin embargo, han sido responsables de hackeos dirigidos a al menos un establecimiento de este tipo.

Leer también Artículo reservado para nuestros suscriptores Ransomware: cómo las autoridades francesas rastrean a los ciberdelincuentes

Un sector muy a menudo objetivo

Los ejemplos abundan. En mayo de 2021, los grupos Revil y Avaddon, por ejemplo, anunciaron nuevas instrucciones dentro de sus respectivas organizaciones, prometiendo no atacar más al sector médico. Una decisión probablemente motivada menos por factores morales que por la necesidad de mantener un perfil bajo tras el sonado ataque al operador Colonial Pipeline un poco antes, que hizo que las autoridades estadounidenses alzaran la voz contra este crimen. Sin embargo, un mes después, el nombre de una organización médica de Nevada apareció en Happy Blog, el sitio que utiliza Revil para publicitar a sus víctimas y obligarlas a pagar el rescate.

Según el Cyberpeace Institute, en los últimos dos años se han documentado más de 380 ataques de ransomware dirigidos a la industria de la salud. Y algunos han tenido efectos muy visibles. En mayo de 2021, el Ejecutivo del Servicio de Salud de Irlanda (HSE) fue atacado por Conti, uno de los principales actores del sector. “Los servicios de salud en todo el país se han visto gravemente interrumpidos con consecuencias reales e inmediatas para los miles de pacientes que buscan atención todos los días”, explicó más tarde la organización en un extenso informe de análisis de incidentes. El mismo año, en Francia, los hospitales de Dax y luego de Villefranche-sur-Saône fueron atacados por ransomware, degradando cada vez más la actividad de estos establecimientos. En 2019, el Hospital Universitario de Rouen también tardó un tiempo en recuperarse de un ataque similar. Más recientemente, en agosto, el sistema de salud del Reino Unido (NHS) también estuvo bajo presión después de un ataque de ransomware.

Leer también Tras el ciberataque en el Hospital Universitario de Rouen, la investigación avanza hacia la pista del villano

De manera más general, una encuesta global reciente realizada por la firma especializada Sophos encontró que alrededor del 66% de las organizaciones de atención médica encuestadas dijeron que habían sido atacadas por ransomware en el año 2021. En la encuesta del año anterior, para 2020, esta cifra fue del 33%. Más preocupante aún, dos tercios de las víctimas encuestadas explicaron que habían pagado el rescate para recuperar el acceso a sus datos.

conflictos internos

¿Cómo explicar la brecha entre las promesas de los grupos y la realidad de los ataques? Más allá de las dudas obvias que deben expresarse sobre las afirmaciones de las organizaciones criminales villanas, también existen mecanismos estructurales que pueden arrojar luz sobre esta situación. La mayoría de los grupos de ransomware operan en la actualidad según un modelo de división del trabajo: por un lado, los llamados operadores desarrollan y mantienen el malware y la infraestructura que lo rodea, y alquilan estos servicios a otros piratas, llamados afiliados. Estos últimos, especializados en intrusión informática, no siempre son miembros de pleno derecho de la «nave nodriza», pero pueden verse como contratistas que trabajan con diferentes grupos. Sin embargo, estos diferentes actores no están necesariamente en la misma línea.

Intercambios internos entre integrantes del grupo Conti, revelados por un especialista en seguridad informática en febrero, muestran por ejemplo que en algunos casos, integrantes del grupo protestaron contra ataques realizados por ciertos afiliados contra establecimientos de salud. «¿Le diste luz verde para atacar este hospital?» »le preguntó un hacker a su compañero en octubre de 2021. “Si no lo ha hecho, le daré la herramienta de descifrado a esta clínica ya que acordamos no atacar al sector médico. »

Lea también: Artículo reservado para nuestros suscriptores Vida de oficina, entrevistas de trabajo y demandas de rescate: en los misterios de Conti, pyme ciberdelincuente

Del mismo modo, mientras que el HSE irlandés afirma no haber pagado el rescate de 20 millones de dólares exigido por Conti, el informe de investigación posterior al incidente indica que, sin embargo, el grupo entregó la herramienta el 21 de mayo para descifrar archivos a la organización. Un mensaje interno enviado el mismo día por un miembro de Conti a otros cómplices acredita esta pista. “Quiero decir que nadie aquí tiene nada que ver con este ataque, NO estamos atacando organismos públicos, hospitales, aeropuertos y similares, y no lo haremos”.explica un ejecutivo en una conversación grupal.

En otros casos, sin embargo, vemos que los jefes de este grupo tienen una interpretación más fluida de sus reglas éticas. «Como no sabías las reglas no te las doy [la clé de déchiffrement] », explica por ejemplo en junio de 2021 un hacker de Conti a uno de sus socios, que acaba de atacar una clínica privada. Un exemple qui rappelle les affirmations cyniques, en 2020, du groupe Netwalker, qui, tout en promettant de ne pas cibler les hôpitaux, assurait ne pas vouloir remettre l’outil de déchiffrement gratuitement si leur logiciel venait à paralyser le système d’un établissement de salud : “Si alguien es atacado, tiene que pagar por el descifrado. »

Vea también nuestro archivo: Ataques de ransomware: la ola

Florián Reynaud

Cuatro días después de ser objeto de un ataque informático, el hospital de Corbeil-Essonnes, en las afueras de París, anunció el miércoles 24 de agosto que trasladaba “todos los pacientes que están inestables o requieren atención aguda” y «pacientes en riesgo, que necesitan mayor seguimiento». El centro hospitalario Sud-Francilien (CHSF) precisó que “Los pacientes en condición estable permanecen[rait] dentro [leurs] local «.

Lea también: En Essonne, el centro hospitalario Sud-Francilien víctima de un ciberataque, su actividad se ve gravemente interrumpida

Los servicios de biología médica e imagen están funcionando, no habiendo afectado la configuración de los dispositivos por el ciberataque. Sin embargo, ya no pueden transmitir los resultados rápidamente, especifica el hospital. “Todos los exámenes se hacen manualmente”, explica un representante sindical de SUD-Santé de la CHSF, Franck Banizette. Con, por tanto, retrasos superiores a la media.

Los pacientes que requieren exámenes periódicos y frecuentes con poca antelación son transferidos a otras estructuras. Esto se refiere, por ejemplo, a pacientes de emergencia o bebés hospitalizados en cuidados intensivos y cuidados intensivos neonatales.

Consultas y entregas garantizadas

«En Urgencias la actividad es cercana a cero» y “la gavilla neonatal ha sido vaciada”dice el representante sindical. “Todas las intervenciones riesgosas o complejas” también se transfieren, pero «cirugía menor» no fue interrumpido.

Quedan aseguradas las consultas, la atención programada en hospitales de día y el parto. “Del mismo modo, la farmacia ha tomado medidas rápidas que garantizan la continuidad del suministro de servicios con medicamentos y productos sanitarios”, agrega el hospital en un comunicado de prensa. Los pacientes de los departamentos de cardiología y de seguimiento y rehabilitación fueron trasladados internamente a la unidad de cuidados intensivos de cardiología, «preventivamente».

Lea también: Ciberdelincuencia: el hospital, un objetivo privilegiado y polémico para los hackers

Ante la imposibilidad de dar un cronograma para la vuelta a la normalidad, el hospital decidió dotarse de grabadoras de CD para almacenar y transmitir datos de imágenes e instrumentos que permitieran realizar exámenes de biología directamente en los servicios, principalmente en cuidados críticos.

«Se está probando un servidor puesto a disposición por Assistance Publique-Hôpitaux de Paris para acceder a las copias de seguridad del establecimiento»dice el hospital.

El mundo con AFP