The authorities of the United States and Germany announced on Thursday the dismantling of one of the main attack networks ransomware del mundo, denominated “Hive“, accusada de haber extortionado a unas 1,500 entities in 80 countries. It is estimated that, through extortion, they collected at least 100 million dollars.
Entre las víctimas de Hive se encontraban el servicio de salud pública de Costa Rica (país que también fue hackeado por Conti), Tata Power de India, the giant German retailer Media Marktthe state gas company of Indonesia and various hospital groups in the United States.
But also víctimas locales, como Artear, en Argentina.
El fiscal general de Estados Unidos, Merrick Garland, dijo que los servers de Hive fueron incautados y se tomó el control de su sitio en la darkweb, una porción de internet no accesible mediate los tradicionales navegadores como Chrome, Safari o Firefox.
“Last night, the Department of Justice dismantled an international network of ransomware responsible for extortion and extortion of hundreds of millions of dollars from victims in the United States and the world,” said Garland in a press conference in Washington.
“Hackeamos a los hackers”, celebró la número dos del Departamento de Justicia estadounidense, Lisa Monaco.
Qué significa el desmantelamiento
“Este tipo de actions contra el ransomware son importantes, no sólo por su impacto en el grupo objetivo, sino también por la información que pueden aportar sobre otras operacións de la cadena de supply, como blanqueadores o intermediarios de acceso. In addition, actions like this decrease the confidence of cyber delinquents among themselves, complicando their collaborations”, explained Brett Callow, expert in threat analysis. Emsisoft.
“El ransomware solía ser un negocio muy rentable y de muy bajo riesgo. Eso ya no es así. Las perturbaciones y las acciones judiciales se están combinando para diminuir los beneficios y aumentar el riesgo y, con el tiempo, es de esperar que eso repercuta en el nivel de actividad de este tipo de amenazas”, agregó, al ser consultado por Clarín.
El experto se refere a la baja en el beneficio neto del ransomware at a global level, detected by Chainanalysis: de 766 milliones de dolares anuales a 457, 2021 contra 2022.
The operation was carried out in coordination with the police forces of Germany and the Netherlands, as well as with Europol, pointed out the director of the American federal police (FBI), Christopher Wray.
After infiltrating an computer system, los ciberdelincuentes de ransomware encriptan los datos de las empresas y exigen un pago para debloquearlos.
Detected for the first time in June 2021, Hive is accused of collecting more than 100 million dollars in rescues. Si las víctimas se negagaban a pagarHive amenazaba con publicar archivos y documentos internos confidentiales en internet, como hacen todas las bandas de ransomware en sus blogs, a los que se accede por Tor.
El jueves, el sitio de Hive en la “darkweb” estaba congelado y una screen que alternaba en inglés y ruso decía que había sido taken por el FBI.
Más tarde, Europol confirmed that they managed to remove the encrypted keys to return the stolen files to the victims.
“When data sequestration occurs, malware occurs [virus] genera un juego de lláves criptográficas que le permitaría encriptar los archivos y sólo reverser el proceso utilizando las mismas. Tras el pago del rescate la víctima recibe el decrypterla llave de recovery, e incluso el derecho a soporte técnico en vivo para auxiliar en el processo de recovery”, explained Luis Ramírez Mendoza, Investigador e Ingeniero de Seguridad.
“Al pagar esta extorsión, los archivos no quedan automáticamente disponible como por arte de magia, sino que existe un proceso. Para recuperar la normalidad previa al incidente debemos desencriptar los archivos utilizando un programa llamado decrypter, provisto por el atacante una vez saldado el rescate”, added.
Un grupo menos en un contexto superpoblado
In June, the FBI successfully penetrated the Hive network and recovered its encrypted key, which it offered to victims of the entire world in the following months, allowing them to avoid paying 130 million dollars in rescues. , said Wray.
Gracias a esto, un distrito escolar de Texas, un hospital de Luisiana y una empresa de servicios de alimentos no identificada, por ejemplo, no tuvenon que pagar millions de dollars en rescates después de ser atacados por Hive, dijeron funcionadores estudiantes.
El FBI también distributió copias de esta clave a las antigua víctimas de Hive para que puedieren recuperador completamente sus datos.
“Lamentablymente, durante estos siete meses, descubrimos que solo el 20% of Hive victims were notified by the police“, said the head of the FBI, who called all companies and entities to contact their agents in case of an attack.
The tax office of Stuttgart, Germany, said in a statement that the operation, baptized “Dawnbreaker“, tuvo su origen en una investigation que sus servicios abrieron tras ataques contra empresas en la region.
Estas, sin embargo, “no cederion a los blackatajes e informaron a las authoridades”, subrayó.
“One more time, it has been demonstrated that intense cooperation and mutual trust across borders and continents is the key para una lucha eficaz contra la gran ciberdelincuencia”, said Udo Vogel, head of police in Reutlingen (southwest of Germany), cited in el comunicado.
Sin embargo, un gran número de bandas de ransomware sigun activascon Lockbit a la cabeza: Alphv (Black Cat), Vice Society (los operators que encriptaron al Senado en enero de 2022) y BlackByte son algunas de ellas
Las autoridades estadonisados no dijeron quién está detrás de Hive o si habría algún arresto el cierre de la operación, e indicaron que la investigation está en curso.
The investigation involved the FBI, the Police Headquarters of Reutlingen in Germany, the Federal Criminal Police of Germany, the National High Technology Crime Unit of the Netherlands, and Europol.
.