Europol informó que tomó el control de la infraestructura del grupo de Ransomware Hive en una operación internacional en la que participaron autoridades de 13 países. La acción fue coordinada por Europol junto a fuerzas de seguridad de Estados Unidos (Departamento de Justicia, FBI y el Servicio Secreto), Alemania (Policía Federal y la Policía de Reutlingen) y Países Bajos (Unidad nacional del crimen tecnológico).
La operación tomó el control de varios servidores y el sitio web utilizado por el grupo de ransomware para la comunicación entre sus miembros y para publicar el nombre y los datos robados de la s víctimas, lo que impide al grupo llevar adelante sus ataques extorsivos.
Lectura relacionada: que es un ransomware y cómo funciona
Todo comenzó en julio de 2022, cuando el FBI se infiltró en la red informática de Hive, robó las claves de descifrado y las utilizó para ayudar a víctimas en distintas partes del mundo para que puedan recuperar sus archivos, evitando el pago de 130 millones de dólares en rescates, informó el Departamento de Justicia de Estados Unidos.
Durante los seis meses posteriores al acceso a los servidores de Hive las fuerzas de seguridad comenzaron a monitorear sus operaciones para conocer cómo operaban. Así el FBI proporcionó las claves de descifrado a unas 300 víctimas de Hive y a más de 1000 compañías que habían sido víctimas de este ransomware previamente.
Hive es un grupo de ransomware que ha tenido una actividad importante desde que hizo sus primeras apariciones en junio de 2021. Durante ese tiempo afectó a más de 1500 compañías y organizaciones en más de 80 países, incluidas varias de América Latina, y se estima que recaudó más de 100 millones de dólares de las compañías que pagaron para recuperar sus archivos y evitar la publicación de información robada. Sin embargo, todo parece haber cambiado para el grupo extorsivo desde mediados de 2022.
Al igual que otros grupos de ransomware en la actualidad, Hive opera bajo el modelo conocido como ransomware-as-a-service (RaaS) en el cual los administradores del software malicioso se asocian con afiliados que se encargan de propagar la amenaza a cambio de dividir las ganancias que obtienen por el pago de los rescates.
En estos casi dos años de actividad, la banda criminal atacó a empresas e infraestructuras críticas de diversos sectores, lo que incluye la salud pública y organismos gubernamentales, así como empresas de telecomunicaciones y hospitales. En 2022, por ejemplo, Hive atacó la Caja Costarricence de Seguro Social (CCSS), un organismo que se encarga de la seguridad social en Costa Rica.
Recompensa de 10 millones por información sobre Hive
Por otra parte, el Departamento de Estado de Estados Unidos anunció que ofrece una recompensa de hasta 10 millones de dólares a quien compartan evidencia que demuestre que el ransomware Hive tiene vínculos con algún gobierno.
FBI disrupts the Dark Web site of the Hive ransomware group.
If you have information that links Hive or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government, send us your tip via our Tor tip line. You could be eligible for a reward. https://t.co/7Bqz0DUSCf pic.twitter.com/n8U3TNC7lh
— Rewards for Justice (@RFJ_USA) January 26, 2023
Para repasar lo que pasó con el ransomware en América Latina en 2022, invitamos a escuchar el episodio del podcast Conexión Segura “Ciberataques a organismos gubernamentales de América Latina: un blanco atractivo en 2022”.