A principios de este mes, el FBI y CISA destacaron a Maui como una nueva operación de ransomware respaldada por Corea del Norte que extorsionaba a las organizaciones occidentales con ataques de ransomware. El Departamento de Justicia de los EE. UU. ha anunciado la incautación de aproximadamente $ 500,000 en Bitcoin, pagados por hospitales estadounidenses a los operadores de la variedad de ransomware Maui. La operación de ransomware en particular demostró una inclinación hacia las organizaciones de atención médica y de salud pública en su objetivo, lo que provocó interrupciones del servicio que amenazaron las vidas.
Como se explica en el anuncio del Departamento de Justicia, el descubrimiento de la nueva cepa fue el resultado de un informe de un incidente de seguridad de un hospital de Kansas al FBI. “Gracias a los informes rápidos y la cooperación de una víctima, el FBI y los fiscales del Departamento de Justicia han interrumpido las actividades de un grupo patrocinado por el estado de Corea del Norte que implementa ransomware conocido como ‘Maui’”. “Esto no solo nos permitió recuperar su pago de rescate, así como un rescate pagado por víctimas previamente desconocidas, sino que también pudimos identificar una cepa de ransomware no identificada previamente”.
El hospital de Kansas pagó aproximadamente $100,000 a la pandilla de ransomware de Maui en mayo de 2021 para restaurar su red de TI luego de un ciberataque de cifrado de datos. Gracias a su rápido reporte del incidente al FBI, la policía rastreó otro pago de $120,000 de un proveedor médico en Colorado poco después. Estos dos pagos y una cantidad no revelada de pagos por valor de 280 000 dólares finalmente se incautaron en mayo de 2022, por lo que la recuperación total fue de aproximadamente medio millón de dólares.
Este caso ilustra la importancia de informar los incidentes de ransomware a las autoridades policiales lo más rápido posible, mientras los indicadores de compromiso están frescos y los pagos se pueden rastrear más fácilmente. Además, seguir el proceso de lavado de dinero después del pago del rescate puede ayudar a los agentes de la ley a identificar a los actores de la amenaza, acusarlos y, en ocasiones, arrestarlos. Esto muestra cuán rápido el informe de incidentes de seguridad permite a las fuerzas del orden seguir más fácilmente el rastro del dinero para recuperar los pagos de rescate e identificar a los atacantes y sus tácticas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.