El Departamento de Justicia anunció el jueves la destrucción del grupo de ransomware Hive vinculado a Rusia después de una operación policial global que se extendió durante meses. La infraestructura de darknet asociada con la operación de ransomware-as-a-service (RaaS) ha sido incautada como parte de un esfuerzo coordinado de aplicación de la ley que involucra a 13 países
“La policía identificó las claves de descifrado y las compartió con muchas de las víctimas, ayudándoles a recuperar el acceso a sus datos sin pagar a los ciberdelincuentes”, dijo Europol en un comunicado.
El Departamento de Justicia de los Estados Unidos (DoJ) dijo que la Oficina Federal de Investigaciones (FBI) se infiltró encubiertamente en los servidores de la base de datos Hive en julio de 2022 y capturó 336 claves de descifrado que luego fueron entregadas a compañías comprometidas por la pandilla, ahorrando efectivamente $ 130 millones en pagos de rescate.
El FBI también distribuyó más de 1,000 claves de descifrado adicionales a víctimas anteriores de Hive, señaló el Departamento de Justicia, afirmando que la agencia obtuvo acceso a dos servidores dedicados y un servidor privado virtual en un proveedor de alojamiento en California que fueron arrendados utilizando tres direcciones de correo electrónico pertenecientes a miembros de Hive.
Además de las claves de descifrado, un examen de los datos de los servidores reveló información sobre 250 afiliados, que son partes reclutadas por los desarrolladores de malware para identificar y desplegar la carga útil de cifrado de archivos contra las víctimas a cambio de una parte de cada pago de rescate exitoso.
El Departamento de Estado de Estados Unidos, en un anuncio relacionado, dijo que está ofreciendo recompensas de hasta $ 10 millones por información que podría ayudar a vincular al grupo de ransomware Hive (u otros actores de amenazas) con gobiernos extranjeros.
Hive, que surgió en junio de 2021, ha sido un equipo prolífico de ciberdelincuencia, lanzando ataques contra 1.500 organizaciones en no menos de 80 países y obteniendo $ 100 millones en ganancias ilícitas.
Las entidades objetivo abarcaron una amplia gama de verticales, incluidas instalaciones gubernamentales, comunicaciones, fabricación crítica, tecnología de la información y atención médica.
Según las estadísticas recopiladas por MalwareBytes, Hive se cobró 11 víctimas en noviembre de 2022, colocándolo en el sexto lugar detrás de Royal (45), LockBit (34), ALPHV (19), BianLian (16) y LV (16).
“Algunos actores de Hive obtuvieron acceso a las redes de las víctimas mediante el uso de inicios de sesión de un solo factor a través del Protocolo de Escritorio Remoto, redes privadas virtuales y otros protocolos de conexión de red remota”, explicó Europol.
“En otros casos, los actores de Hive pasaron por alto la autenticación multifactor y obtuvieron acceso explotando vulnerabilidades. Esto permitió a los ciberdelincuentes maliciosos iniciar sesión sin solicitar el segundo factor de autenticación del usuario cambiando el caso del nombre de usuario”.
La operación internacional consistió en autoridades de Canadá, Francia, Alemania, Irlanda, Lituania, Países Bajos, Noruega, Portugal, Rumania, España, Suecia, el Reino Unido y los Estados Unidos.
En todo caso, es probable que la medida cause una interrupción temporal en las operaciones de Hive, obligando al grupo (rastreado como Hive Spider) a establecer una nueva infraestructura en caso de que tenga la intención de continuar su actividad criminal bajo el mismo nombre.
“La incautación tanto del [sitio dedicado a la filtración] como del portal de negociación de víctimas es un gran revés para las operaciones del adversario”, dijo Adam Meyers, jefe de inteligencia de CrowdStrike.
“Sin acceso a ninguno de los sitios, los afiliados de Hive Spider tendrán que depender de otros medios de comunicación con sus víctimas y tendrán que encontrar formas alternativas de publicar públicamente los datos de las víctimas”.
Con las pandillas RaaS disolviéndose y reagrupándose constantemente a raíz de las medidas de aplicación de la ley, los conflictos internos o las razones geopolíticas, las últimas acciones podrían tener un efecto a corto plazo en el ecosistema y llevar a las tripulaciones a endurecer sus defensas.
El desarrollo también se produce en un momento en que las empresas violadas por ataques de ransomware se niegan cada vez más a llegar a un acuerdo, lo que lleva a pagos bajos récord en el cuarto trimestre de 2022. Según Coveware, solo el 41% de las víctimas pagaron un rescate en 2022, en comparación con el 50% en 2021, el 70% en 2020 y el 76% en 2019.
“Las acciones emprendidas por las agencias estadounidenses para interrumpir la operación del grupo de ransomware Hive desde dentro es un paso sin precedentes en la lucha contra el ransomware, que se ha mantenido constantemente como la mayor amenaza que enfrentan la mayoría de las organizaciones hoy en día”, dijo Satnam Narang, ingeniero de investigación senior de Tenable.
“Si bien esto puede señalar el final del grupo de ransomware Hive, sus miembros y afiliados siguen siendo una amenaza. Si hay algo que hemos aprendido después de acciones disruptivas pasadas contra grupos de ransomware, es que otros grupos se levantarán para llenar el vacío dejado atrás”.
(La historia se ha actualizado después de su publicación para incluir más información sobre la represión de la infraestructura).
