Capturan en Francia al Hacker Más Buscado de Finlandia
Julius "Zeekill" Kivimäki, un finlandés de 25 años acusado de extorsionar a una práctica local de psicoterapia en línea y filtrar notas de terapia para más de 22,000 pacientes en línea, fue arrestado esta semana en Francia. Kivimäki, un famoso pirata informático condenado por perpetrar decenas de miles de delitos cibernéticos, había estado escondido desde octubre de 2022, cuando no se presentó ante el tribunal y Finlandia emitió una orden internacional de arresto contra él.
A finales de octubre de 2022, Kivimäki fue acusado (y "arrestado en ausencia", según los finlandeses) de intentar extorsionar al Centro de Psicoterapia Vastaamo. En esa violación, que ocurrió en octubre de 2020, un pirata informático que usaba el identificador "Ransom Man" amenazó con publicar notas de psicoterapia de pacientes si Vastaamo no pagaba una demanda de rescate de seis cifras.
Vastaamo se negó, por lo que Ransom Man pasó a extorsionar a pacientes individuales, enviándoles correos electrónicos específicos que amenazaban con publicar sus notas de terapia a menos que pagaran un rescate de 500 euros.
Cuando Ransom Man encontró poco éxito extorsionando a los pacientes directamente, subieron a la web oscura un gran archivo comprimido que contenía todos los registros de pacientes Vastaamo robados.
Pero como documentado por KrebsOnSecurity en noviembre de 2022, los expertos en seguridad pronto descubrieron que Ransom Man había incluido por error una copia completa de su carpeta de inicio, donde los investigadores encontraron muchas pistas que apuntaban a la participación de Kivimäki. De esa historia:
"Entre los que tomaron una copia de la base de datos estaba Antti Kurittu, un líder de equipo en Corporación Nixu y un ex investigador criminal. En 2013, Kurittu trabajó en una investigación que involucraba el uso de Kivimäki de la botnet Zbot, entre otras actividades en las que Kivimäki participó como miembro del grupo de hackers Hackear el Planeta (HTP).”
"Fue una gran falla de opsec [seguridad operativa], porque tenían muchas cosas allí, incluida la carpeta SSH privada del usuario y muchos hosts conocidos que podríamos analizar muy bien", dijo Kurittu a KrebsOnSecurity, negándose a discutir detalles de las pruebas incautadas por los investigadores. "También había otros proyectos y bases de datos.”
De acuerdo con el Sitio de noticias en francés actu.fr, Kivimäki fue arrestado alrededor de las 7 a. m. de febrero. 3, después de que las autoridades Courbevoie respondió a un informe de violencia doméstica. Kivimäki había salido antes con una mujer en un club nocturno local, y más tarde los dos regresaron a su casa, pero, según los informes, tuvieron una acalorada discusión.
La policía que respondió a la escena fue admitida por otra mujer, posiblemente una compañera de cuarto, y encontró al hombre adentro todavía durmiendo una larga noche. Cuando lo despertaron y le pidieron identificación, el hombre rubio de 6' 4" y ojos verdes presentó una identificación que decía que era de nacionalidad rumana.
La policía francesa dudaba. Después de consultar los registros de los delincuentes más buscados, rápidamente identificaron al hombre como Kivimäki y lo detuvieron.
Kivimäki inicialmente ganó notoriedad como miembro autoproclamado de la Escuadrón Lagarto, un grupo de hackers principalmente poco calificado que se especializó en ataques DDoS. Pero investigadores estadounidenses y finlandeses dicen que la participación de Kivimäki en el cibercrimen se remonta al menos a 2008, cuando le presentaron a un miembro fundador de lo que pronto se convertiría en HTP.
La policía finlandesa dijo que Kivimäki también usaba los apodos "Ryan", "RyanC" y "Ryan Cleary" (Ryan Cleary era en realidad miembro de un grupo de hackers rival — LulzSec - que fue condenado a prisión por piratería informática).
Kivimaki y otros miembros de HTP estaban involucrados en comprometer servidores web en masa utilizando vulnerabilidades conocidas, y en 2012 el alias de Kivimäki, Ryan Cleary, estaba vendiendo acceso a esos servidores en forma de un servicio DDoS por contrato. Kivimäki tenía 15 años en ese momento.
El servicio de DDoS por contrato supuestamente operado por Kivimäki en 2012.
En 2013, los investigadores que revisaron los dispositivos incautados a Kivimäki encontraron código informático que se había utilizado para descifrar más de 60,000 servidores web utilizando una vulnerabilidad previamente desconocida en ColdFusion de Adobe software.
KrebsOnSecurity detalló el trabajo de HTP en septiembre de 2013, después de que el grupo servidores comprometidos dentro de los corredores de datos LexisNexis, Kroll y Dun & Bradstreet.
El grupo utilizó los mismos defectos de ColdFusion para irrumpir en el Centro Nacional de Delitos de Cuello Blanco (NWC3), una organización sin fines de lucro que brinda investigación y apoyo investigativo a Oficina Federal de Investigaciones de los Estados Unidos (FBI).
Como informó KrebsOnSecurity en ese momento, esta pequeña botnet ColdFusion de servidores de intermediarios de datos estaba siendo controlada por los mismos ciberdelincuentes que habían asumido el control de ssndob[.]em, que operaba uno de los servicios más confiables del metro para obtener el número de Seguro Social, las fechas de nacimiento y la información del archivo de crédito de los residentes de EE.
Múltiples fuentes policiales le dijeron a KrebsOnSecurity que Kivimäki era responsable de hacer una amenaza de bomba de agosto de 2014 contra ex El presidente de Sony Online Entertainment, John Smedley eso dejó en tierra un avión de American Airlines. Se informó ampliamente que ese incidente comenzó con un tweet del Escuadrón Lizard, pero Smedley y otros dijeron que comenzó con una llamada de Kivimäki.
Kivimäki también estuvo involucrado en múltiples amenazas de bomba falsas e incidentes de "swatting", informando situaciones falsas de rehenes en una dirección para provocar una respuesta policial fuertemente armada en ese lugar.
La aparente indiferencia de Kivimäki por ocultar sus huellas atrajo el interés de los investigadores de delitos cibernéticos finlandeses y estadounidenses, y pronto los fiscales finlandeses lo acusaron de una serie de violaciones de delitos cibernéticos. En el juicio, los fiscales presentaron evidencia que mostraba que había usado tarjetas de crédito robadas para comprar artículos de lujo y vales de compras, y participó en un esquema de lavado de dinero que usó para financiar un viaje a México.
Kivimäki fue finalmente condenado por orquestar más de 50.000 delitos cibernéticos. Pero en gran parte porque todavía era menor de edad en ese momento (17), se le impuso una sentencia suspendida de 2 años y se le ordenó perder 6.558 euros.
Como Escribí en 2015 después del juicio de Kivimäki:
"El peligro de tal decisión es que envalentona a los jóvenes hackers maliciosos al reforzar la noción ya popular de que no hay consecuencias para los delitos cibernéticos cometidos por personas menores de 18 años.
Kivimäki ahora se jacta de la frase; Ha cambiado la descripción en su perfil de Twitter a " Dios hacker intocable. La cuenta de Twitter del Escuadrón Lagarto tuiteó triunfalmente la noticia de la no sentencia de Kivimäki: "Todas las personas que dijeron que nos pudriríamos en prisión no quieren comprender lo que hemos estado diciendo desde el principio, tenemos pases libres.”
Algo me dice que Kivimäki no saldrá tan fácilmente esta vez, suponiendo que sea extraditado con éxito a Finlandia. Una declaración de la policía finlandesa dice que están buscando la extradición de Kivimäki y que esperan que el proceso se desarrolle sin problemas.
Kivimäki no pudo ser contactado para hacer comentarios. Pero él ha sido discutiendo su caso en Reddit usando su nombre legal — Aleksanteri (dejó de usar su segundo nombre Julius cuando se mudó al extranjero hace varios años). En una publicación fechada en enero. El 31 de enero de 2022, Kivimäki respondió a otro usuario de Reddit de habla finlandesa que dijo que era un fugitivo de la justicia.
"Lo mismo," respondió Kivimäki. "¿Empezamos algún tipo de club? ¿Una organización de apoyo para personas buscadas?”
>>Más