Norsk Hydro Probe muestra un ritmo lento de casos de ransomware internacionales

El productor noruego de aluminio Norsk Hydro COMO

A esperó dos años y medio para que la policía detuviera a las personas sospechosas de lanzar un ataque de ransomware paralizante contra la empresa en marzo de 2019.


La extensa investigación involucró a ocho países, lo que llevó a las autoridades a detener a una docena de sospechosos en Ucrania y Suiza a fines de octubre.

Un aumento en la frecuencia y el alcance de los ataques de ransomware ha llevado a EE. UU. Y sus aliados a comprometerse a cooperar estrechamente para rastrear y detener a los grupos de ransomware y discutir la alineación de las reglas sobre criptomonedas, que los piratas informáticos utilizan para obtener discretamente los pagos de sus víctimas.

Aún así, el cronograma del caso Norsk Hydro destaca la naturaleza compleja y, a menudo, el ritmo lento de las investigaciones internacionales de aplicación de la ley, que deben seguir estrictos requisitos legales. Además de Noruega, Ucrania y Suiza, la investigación de Norsk Hydro involucró a autoridades de Francia, los Países Bajos, Alemania, el Reino Unido y los EE. UU.


Deberías leer:   El propietario de Facebook, Meta, nombra al director ejecutivo de DoorDash, Tony Xu, como miembro de la junta directiva

Ahora, los fiscales de Noruega, Francia, el Reino Unido y Ucrania evaluarán las pruebas recopiladas y decidirán cómo proceder.

El fiscal noruego Knut Jostein Saetnan.


Foto:

NCIS Noruega

“La cooperación policial internacional requiere mucho, mucho tiempo”, dijo Knut Jostein Saetnan, un fiscal noruego involucrado en el caso.

Cuando Norsk Hydro fue atacado en 2019, sus operaciones en todo el mundo se detuvieron cuando la compañía se movió para contener el ransomware. Los investigadores noruegos llegaron a sus oficinas para recopilar información sobre el ataque.

Jo De Vliegher, entonces director de información de Norsk Hydro, dijo en ese momento que los investigadores descubrieron que los piratas informáticos se habían hecho pasar por usuarios legítimos en la red de la compañía para lanzar el ransomware.

Los intrusos ingresaron al sistema de la compañía en diciembre de 2018 a través de un correo electrónico infectado que parecía provenir de un socio comercial. Los atacantes desconectaban a los empleados de los sistemas de la empresa, lo que les impedía trabajar. Norsk Hydro dijo en marzo que el incidente le costó entre 800 millones y mil millones de coronas noruegas, lo que actualmente equivale a entre 90 millones y 112 millones de dólares.

El personal de tecnología y ciberseguridad de Norsk Hydro se dividió en tres grupos después del ataque. Uno trabajó para solucionar los problemas causados ​​por el ataque, otro hizo un trabajo forense sobre cómo ocurrió y el tercero se centró en la reconstrucción de la tecnología, dijo el portavoz Halvor Molland.

Norsk Hydro compartió fácilmente las conclusiones de su investigación interna con los investigadores noruegos, dijo Molland. Aún así, las autoridades de Noruega tuvieron que esperar hasta que Norsk Hydro restauró sus sistemas antes de poder obtener gran parte de las pruebas de la empresa, dijo Saetnan, el fiscal noruego.

Quedó claro que el caso probablemente tomaría años, agregó.

Mientras tanto, los investigadores franceses se dieron cuenta de que un caso de ransomware en el que habían estado trabajando estaba relacionado con el incidente de Norsk Hydro y pidieron combinar las sondas, dijo Baudoin Thouvenot, un juez que representa a Francia en Eurojust, la agencia europea que coordina el trabajo judicial transfronterizo. .

Con el tiempo, más autoridades nacionales aportaron pruebas de sus jurisdicciones.

Durante ciertos momentos, se les dijo a las autoridades noruegas que tenían que esperar para recibir pruebas porque las leyes penales en algunos de los países involucrados requerían una decisión judicial para compartir pruebas, dijo Saetnan. Eso sucede con frecuencia en casos internacionales, dijo.

“Cuando se trata de delitos cibernéticos, en realidad somos ciegos sin la cooperación y la información que recibimos de [other] países ”, dijo.

Advertencias de Norsk Hydro a los empleados después del ciberataque de marzo de 2019.


Foto:

gwladys fouche / Reuters

Las limitadas oportunidades de viaje en medio de la pandemia de Covid-19 también retrasaron el caso. Los funcionarios a menudo se reunían por videoconferencia, pero solo discutían información confidencial en persona.

La colaboración finalmente condujo a redadas policiales. En la madrugada del 26 de octubre, la policía de Ucrania irrumpió en las casas de los sospechosos y detuvo a 11. Las autoridades suizas hicieron un arresto ese día.

En La Haya, donde tiene su sede Eurojust, el Sr. Thouvenot, el juez francés, estuvo de guardia desde las 6 am hasta las 7 pm aproximadamente para ayudar con cualquier problema legal. En otros casos internacionales, dijo Thouvenot, la policía se ha presentado en la casa de un sospechoso para descubrir que la persona ha abandonado el país. En esos casos, los funcionarios deben buscar rápidamente órdenes judiciales y asistencia en otra jurisdicción. Nada de eso sucedió esta vez, dijo.

Saetnan, el fiscal noruego, dijo que pasó el día en el cuartel general de delitos cibernéticos de la policía ucraniana en Kiev y trabajó durante 13 o 14 horas, esperando escuchar sobre la incautación de pruebas. La policía confiscó más de 52.000 dólares en efectivo, cinco vehículos de lujo y varios dispositivos electrónicos, según la agencia policial europea Europol. Un video publicado días después de las redadas por la policía ucraniana mostró a las autoridades tomando computadoras portátiles, tabletas, teléfonos celulares y efectivo en dólares estadounidenses y euros.

Más de WSJ Pro Cybersecurity

Hasta ahora, Saetnan dijo que su oficina solo ha recibido algunas pruebas obtenidas de los dispositivos. Los fiscales deben solicitar pruebas en virtud de los denominados tratados de asistencia judicial recíproca con otros países. El proceso puede llevar meses, a veces más, porque los departamentos de justicia o policía que manejan tales solicitudes a menudo están atrasados.

De Vliegher, ex CIO de Norsk Hydro, dijo que está aliviado de que se haya capturado a los sospechosos. La policía y las empresas deberían “aprovechar esta oportunidad para comprender mejor cómo operan estos tipos, comprender sus debilidades y cómo se pueden encontrar grupos similares”, dijo. De Vliegher, quien dejó Norsk Hydro en agosto, es asesor ejecutivo de ciberseguridad en la empresa de gestión de riesgos cibernéticos Istari Global Ltd., que tiene oficinas en Singapur, Reino Unido y EE. UU.

“Es muy importante que esto lleve a condenas y es un impedimento para otras personas”, dijo. “Tenemos que llegar al punto en que el ciberdelito sea punible”.

Escribir a Catherine Stupp en [email protected]

Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ