En una de las mayores acciones internacionales de cumplimiento de la ley cibernética vistas hasta la fecha, la infraestructura del cártel de ransomware Hive fue pirateada, su clave de descifrado “robada” y distribuida a las víctimas, y sus servidores incautados, poniendo fin a una ola de delitos de 18 meses que había robó más de $ 100 millones de alrededor de 1,500 víctimas, incluidos hospitales, escuelas, organizaciones de servicios financieros e infraestructura crítica.
El alcance de la operación, revelada por primera vez ayer (26 de enero) por el Departamento de Justicia de los EE. UU. (DoJ), fue tal que atrajo a las fuerzas del orden de Canadá, Francia, Alemania, Irlanda, Lituania, los Países Bajos, Noruega , Portugal, Rumanía, España, Suecia, Reino Unido y Estados Unidos, con las agencias europeas coordinadas a través de Europol.
Con el FBI a la cabeza, la infraestructura de Hive fue penetrada por primera vez en julio de 2022 y sus claves de descifrado fueron extraídas. Desde entonces, las llaves se han entregado a 300 víctimas de Hive bajo ataque activo y a más de 1000 víctimas atacadas anteriormente, lo que ha ahorrado aproximadamente 130 millones de dólares (105,1 millones de libras esterlinas) en posibles pagos de rescate. Un investigador independiente puso a disposición una herramienta de descifrado de Hive aproximadamente al mismo tiempo; no se sabe si existe un vínculo con la operación.
Luego, a principios de esta semana y en colaboración con la unidad nacional holandesa de delitos cibernéticos, la policía federal alemana y las autoridades locales en el estado de Baden-Württemberg, el FBI pudo tomar el control de los servidores y sitios web que usaba Hive, interrumpiendo la capacidad de la pandilla para atacar y extorsionar a más víctimas.
“La interrupción del grupo de ransomware Hive por parte del Departamento de Justicia debería hablar tan claramente a las víctimas de delitos cibernéticos como a los perpetradores”, dijo la fiscal general adjunta de EE. UU., Lisa Monaco.
“En una vigilancia cibernética del siglo XXI, nuestro equipo de investigación le dio la vuelta a Hive, pasó sus claves de descifrado, se las pasó a las víctimas y, en última instancia, evitó más de $ 130 millones en pagos de ransomware. Continuaremos contraatacando los delitos cibernéticos utilizando todos los medios posibles y colocaremos a las víctimas en el centro de nuestros esfuerzos para mitigar la amenaza cibernética”.
Paul Foster, subdirector de la Unidad Nacional de Delitos Cibernéticos de la Agencia Nacional del Crimen del Reino Unido (NCA), agregó: “Hive era un servicio que permitía a los ciberdelincuentes robar millones de empresas en todo el mundo, y varias organizaciones del Reino Unido sufrieron importantes interrupciones y pérdidas financieras.
“El poder combinado de la aplicación de la ley internacional, que incluye a los oficiales de la NCA, es un tremendo ejemplo de acción para acabar con la infraestructura de TI ilegal. Continuamos trabajando en estrecha colaboración con los socios para reforzar nuestra capacidad de abordar esta amenaza a la seguridad nacional y fortalecer la respuesta del Reino Unido al delito cibernético.
“Insto a cualquier empresa que pueda haber sido víctima de un delito cibernético a que se presente y denuncie tales incidentes a las fuerzas del orden”.
El hospital afectado por Hive se vio obligado a rechazar pacientes
A pesar de su relativa juventud, el cártel de ransomware Hive se estableció firmemente como una de las operaciones de ransomware como servicio (RaaS) más prolíficas y peligrosas, operando un modelo basado en suscripción mediante el cual reclutó afiliados para hacer su trabajo sucio mientras toma un Recorte del 20% de los pagos de rescate para sí mismo.
En un momento, la familia de ransomware más prolífica observada por los respondedores de incidentes en Mandiant de Google Cloud, representando el 15 % de las intrusiones a las que respondió el año pasado.
El casillero de ransomware en sí estaba en desarrollo activo y, en particular, se reescribió por completo en el lenguaje de programación Rust a mediados de 2022, probablemente en un intento de obstaculizar el análisis y desviar a los investigadores e investigadores de su rastro. Rust es uno de varios lenguajes multiplataforma valorados por los operadores de RaaS por su flexibilidad y capacidad para dirigirse rápida y fácilmente a entornos Windows y Linux.
Hive fue utilizado por múltiples actores, según Mandiant, pero uno de los operadores de Hive más entusiastas fue UNC2727, también rastreado como Gold Ulrick o Wizard Spider, que anteriormente se conocía como la operación de ransomware Conti que apuntó al Ejecutivo del Servicio de Salud Irlandés en mayo de 2021 .
Los afiliados accedieron a sus redes de destino utilizando una serie de métodos probados, a menudo a través de inicios de sesión de un solo factor a través de la herramienta de protocolo de escritorio remoto (RDP), pero también utilizando redes privadas virtuales (VPN) y otros protocolos de conexión de red remota, explotando FortiToken vulnerabilidades y correos electrónicos de phishing que contienen archivos adjuntos maliciosos. También se sabe que los afiliados de Hive han explotado la cadena de vulnerabilidades ProxyShell en Microsoft Exchange Server.
El malware utilizó la técnica bien establecida de doble extorsión que no solo cifró los datos de las víctimas y los hizo inaccesibles, sino que también robó y publicó los datos en un sitio de filtración de la web oscura, causando más angustia y vergüenza, y actuando como un “incentivo” adicional. que sus víctimas paguen. Causó una gran interrupción en las operaciones de las víctimas, en un caso atacando un hospital que tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes a raíz de su ataque.
En el Reino Unido, la NCA dijo que los afiliados de Hive habían golpeado a aproximadamente 50 víctimas, incluso en los sectores de vivienda, transporte, comercio y educación.
El mercado del crimen cibernético demostrará ser resistente
Sin embargo, a pesar del éxito de la operación conjunta, los expertos tienden a evaluar que el clandestino ransomware tomará con calma la interrupción de Hive. De hecho, es posible, incluso probable, que las personas asociadas con Hive ya estén estableciendo vínculos con otras operaciones: ya se han observado similitudes entre Hive y un ransomware emergente, Play, que se cree que está detrás del ataque de diciembre de 2022 contra el concesionario de automóviles Arnold del Reino Unido. Clark.
John Hultquist, jefe de Mandiant Threat Intelligence, dijo: “La interrupción del servicio Hive no causará una caída importante en la actividad general de ransomware, pero es un golpe para un grupo peligroso que ha puesto en peligro vidas al atacar el sistema de salud.
“Desafortunadamente, el mercado criminal en el corazón del problema del ransomware asegura que un competidor de Hive estará listo para ofrecer un servicio similar en su ausencia, pero pueden pensarlo dos veces antes de permitir que su ransomware se use para apuntar a hospitales”.
Continuó: “Acciones como esta agregan fricción a las operaciones de ransomware. Es posible que Hive tenga que reagruparse, reequiparse e incluso cambiar su marca. Cuando los arrestos no sean posibles, tendremos que centrarnos en soluciones tácticas y una mejor defensa. Hasta que podamos abordar el refugio seguro ruso y el resistente mercado del delito cibernético, este tendrá que ser nuestro enfoque”.