El FBI incautó la infraestructura tecnológica de la peligrosa banda de ransomware Hive
Los sitios de filtración de datos y pagos en Tor de la banda de ransomware Hive fueron incautados como parte de una operación policial internacional. Esto ocurrió después de que el FBI se infiltró en la infraestructura de la banda en julio pasado.
Hoy, el Departamento de Justicia de Estados Unidos y Europol anunciaron que una operación policial internacional se infiltró en secreto en la infraestructura de la banda de ransomware Hive en julio de 2022. Desde esa fecha y durante seis meses, las autoridades monitorearon la banda en secreto.
Esta operación les permitió conocer los ataques antes de que ocurrieran y advertir a los objetivos. Asimismo, pudieron obtener y distribuir claves de descifrado a las víctimas, lo que evitó el pago de rescates por aproximadamente $130 millones.
“Desde finales de julio de 2022, el FBI ingresó en las redes informáticas de Hive, capturó sus claves de descifrado y las ha ofrecido a las víctimas en todo el mundo, evitando que las víctimas tengan que pagar los 130 millones de dólares del rescate exigido”.
“Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que fueron atacadas. Además, el FBI distribuyó más de 1000 claves de descifrado adicionales a víctimas anteriores de Hive.”
Departamento de Justicia
Operación coordinada
De acuerdo con una solicitud de orden judicial, el FBI obtuvo acceso a dos servidores dedicados y un servidor privado virtual en un proveedor de alojamiento en California que se alquilaron utilizando direcciones de correo electrónico pertenecientes a miembros de Hive.
En una acción coordinada, la policía holandesa también obtuvo acceso a dos servidores dedicados de respaldo alojados en los Países Bajos.
Utilizando este acceso, las fuerzas del orden público confirmaron que estos servidores actuaban como el principal sitio de filtración de datos de la banda, sitio de negociación y paneles web utilizados por los operadores y afiliados.
“Además de las claves de descifrado, cuando el FBI examinó la base de datos encontrada en Target Server 2, el FBI encontró registros de comunicaciones de Hive, valores hash de archivos de malware e información sobre los 250 afiliados de Hive. También encontraron información de víctimas consistente con la información que habían obtenido previamente a través de las claves de descifrado“.
Los sitios web en Tor de la banda de ransomware ahora muestran un aviso de incautación que enumera una amplia gama de otros países involucrados en la operación de aplicación de la ley. Estos países incluyen Alemania, Canadá, Francia, Lituania, Países Bajos, Noruega, Portugal, Rumania, España, Suecia y el Reino Unido.
A diferencia de los mensajes de incautación anteriores utilizados por las autoridades, esta imagen es un GIF animado. La imagen alterna entre un mensaje en inglés y ruso, que advierte a otras bandas de ransomware sobre la operación.
“Este sitio oculto ha sido incautado. La Oficina Federal de Investigaciones incautó este sitio como parte de una acción policial coordinada contra la banda de ransomware Hive”.
“Esta acción se tomó en coordinación con la Oficina del Fiscal de los Estados Unidos para el Distrito Medio de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia con la asistencia sustancial de Europol”.
Breve historia de la banda de ransomware Hive
La banda de ciberdelincuentes de Hive trabaja como una operación de ransomware como servicio (RaaS) que se lanzó en junio de 2021. Se sabe que vulneran organizaciones a través de campañas de phishing, explotan vulnerabilidades en dispositivos expuestos a Internet y mediante credenciales compradas.
Una vez que obtienen acceso a una red corporativa, los atacantes se propagan lateralmente a otros dispositivos mientras roban datos sin cifrar para usarlos en demandas de doble extorsión.
Cuando obtienen acceso de administrador a un controlador de dominio de Windows, implementan su ransomware en toda la red para cifrar todos los dispositivos.
A diferencia de muchas bandas de ransomware que afirman evitar los servicios de emergencia y las entidades de atención médica, Hive no tiene mucho cuidado sobre a quién atacan.
El grupo de ransomware es responsable de muchas víctimas, incluidos los ataques a la organización sin fines de lucro Memorial Health System, el gigante minorista MediaMarkt, Bell Technical Solutions (BTS), Tata Power y la New York Racing Association.
En noviembre de 2022, el FBI declaró que la banda de ransomware generó aproximadamente $100 millones de más de 1500 empresas desde junio de 2021.