1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Presunto Extorsionador de Pacientes de Psicoterapia Enfrenta Juicio

Presunto Extorsionador de Pacientes de Psicoterapia Enfrenta Juicio

Fiscales en Finlandia iniciaron esta semana su juicio penal contra Julius Kivimäki, un finlandés de 26 años acusado de extorsionar a una práctica de psicoterapia en línea que alguna vez fue popular y ahora está en bancarrota y a miles de sus pacientes. En un informe de 2.200 páginas, las autoridades finlandesas explicaron cómo conectaron la ola de extorsiones con Kivimäki, un notorio hacker que fue condenado en 2015 de perpetrar decenas de miles de delitos cibernéticos, incluidas violaciones de datos, fraude de pagos, operar una botnet y hacer amenazas de bomba.

En noviembre de 2022, Kivimäki fue acusado de intentar extorsionar al Centro de Psicoterapia Vastaamo. En esa violación, que ocurrió en octubre de 2020, un pirata informático que usaba el nombre de usuario "Ransom Man" amenazó con publicar notas de psicoterapia de pacientes si Vastaamo no pagaba una demanda de rescate de seis cifras.

Vastaamo se negó, por lo que Ransom Man pasó a extorsionar a pacientes individuales, enviándoles correos electrónicos específicos amenazando con publicar sus notas de terapia a menos que pagaran un rescate de 500 euros. Cuando Ransom Man encontró poco éxito extorsionando a los pacientes directamente, cargaron en la web oscura un gran archivo comprimido que contenía todos los registros de pacientes Vastaamo robados.

Los expertos en seguridad pronto descubrieron que Ransom Man había incluido por error una copia completa de su carpeta de inicio, donde los investigadores encontraron muchas pistas que apuntaban a la participación de Kivimäki. En ese momento, Kivimäki ya no estaba en Finlandia, pero el gobierno finlandés, sin embargo, acusado a Kivimäki en ausencia por el hackeo de Vastaamo. El documento de evidencia de 2.200 páginas contra Kivimäki sugiere que disfrutaba de un estilo de vida lujoso mientras estaba prófugo, frecuentaba resorts de lujo y alquilaba automóviles y viviendas fabulosamente caros.

Pero en febrero de 2023, Kivimäki estaba arrestado en Francia después de que las autoridades respondieron a una llamada de disturbios domésticos y encontraron al acusado durmiendo con resaca en el sofá de una mujer que había conocido la noche anterior. La policía francesa comenzó a sospechar cuando el hombre rubio de 6' 3" y ojos verdes presentó una identificación que decía que era de nacionalidad rumana.

Una copia redactada de una identificación que Kivimaki entregó a las autoridades francesas alegando que era de Rumania.

Los fiscales finlandeses demostraron que la tarjeta de crédito de Kivimäki se había utilizado para pagar el servidor virtual que albergaba las notas robadas de los pacientes de Vastaamo. Además, la carpeta de inicio incluida en el archivo de datos de pacientes de Vastaamo también permitió a los investigadores mirar otros proyectos de cibercrimen del acusado, incluidos los dominios a los que Ransom Man tenía acceso, así como un largo historial de comandos que había ejecutado en el servidor virtual alquilado.

Algunos de esos dominios supuestamente administrados por Kivimäki se establecieron para manchar la reputación de diferentes empresas e individuos. Uno de ellos era un sitio web que afirmaba haber sido escrito por una persona que dirigía la infraestructura de TI de un importante banco en Noruega que discutió la idea de legalizar el abuso sexual infantil.

Otro dominio albergaba un blog falso que mancillaba la reputación de Tulsa, Oklahoma. hombre cuyo nombre se adjuntó a publicaciones de blog sobre el apoyo al movimiento "orgullo blanco" y pidiendo el perdón del Bombardero de Oklahoma City Timothy McVeigh.

Kivimäki parece haber tratado de manchar el nombre de este reportero también. El documento de 2.200 páginas muestra que Kivimäki poseía y operaba el dominio. krebsonsecurity[.] org, que albergaba varias herramientas de piratería que supuestamente usaba Kivimäki, incluidos programas para escanear en masa Internet en busca de sistemas vulnerables a fallas de seguridad conocidas, así como scripts para descifrar nombres de usuario y contraseñas de servidores de bases de datos y descargar bases de datos.

Ransom Man incluyó inadvertidamente una copia de su directorio personal en los datos filtrados de los pacientes de Vastaamo. Un largo historial de los comandos ejecutados por ese usuario muestra que usaron krebsonsecurity-dot-org para alojar herramientas de piratería y escaneo.

Mikko Hyppönen, director de investigación de WithSecure (anteriormente F-Secure), dijo que las autoridades finlandesas han hecho un "trabajo increíble" y que " es raro tener tanta evidencia para un caso de cibercrimen.”

Petteri Järvinen es un respetado experto en TI y autor que ha estado siguiendo el juicio, y dijo que el caso de la fiscalía hasta ahora ha sido sólido.

"La Oficina Nacional de Investigación ha hecho un buen trabajo y el Sr. Kivimäki, por su parte, cometió algunos errores elementales", Järvinen escribió en LinkedIn. "Esto envía un mensaje importante: el crimen en línea no paga. También quedan rastros en el mundo digital, incluso si es muy tedioso para la policía recopilarlos de servidores de todo el mundo.”

Antti Kurittu es especialista en seguridad de la información y ex investigador criminal. En 2013, Kurittu trabajó en una investigación que involucraba el uso de Kivimäki del Botnet Zbot, entre otras actividades en las que participó Kivimäki como miembro del grupo de hackers Hackear el Planeta (HTP). Kurittu dijo que queda por ver si la fiscalía puede presentar su caso y si la defensa tiene alguna respuesta a todas las pruebas presentadas.

"Según el informe público de la investigación previa al juicio, parece que el caso tiene muchos detalles que parecen muy improbables que sean una coincidencia", dijo Kurittu a KrebsOnSecurity. "Por ejemplo, se encontró una copia completa de la base de datos de pacientes de Vastaamo en un servidor que pertenecía a Scanifi, una empresa sin negocios razonables a la que estaba afiliada Kivimäki. El contenido filtrado de la carpeta de inicio también estaba conectado a Kivimäki y se encontró en servidores que estaban bajo su control.”

El diario finlandés yle.fi informes que los abogados de Kivimäki buscaron que su cliente fuera liberado del confinamiento por el resto de su juicio, señalando que el acusado ya ha estado detenido durante ocho meses.

El tribunal rechazó esa solicitud, diciendo que el acusado seguía corriendo riesgo de fuga. Se espera que el juicio de Kivimäki continúe hasta febrero de 2024, en parte para acomodar el testimonio de un gran número de víctimas. Los fiscales buscan una sentencia de siete años para Kivimäki.



>>Más