El FBI y el Departamento de Justicia derribaron la infraestructura del grupo de ransomware Hive el jueves y anunciaron que sus agentes habían estado dentro de los sistemas del grupo desde julio de 2022.
El director del FBI Christopher Wray dijo que los agentes tenían “acceso clandestino y persistente” al panel de control utilizado por los operadores de Hive hace siete meses, lo que les permitió identificar a las víctimas y ofrecer claves de descifrado a más de 1300 de ellas en todo el mundo y evitar al menos $ 130 millones en pagos de rescate.
“Sin el conocimiento de Hive en una vigilancia cibernética del siglo XXI, nuestro equipo de investigación se infiltró legalmente en la red de Hive y se escondió allí durante meses, robando repetidamente claves de descifrado y pasándoselas a las víctimas para liberarlas del ransomware”, dijo la fiscal general adjunta Lisa Monaco durante una entrevista y conferencia de prensa el jueves.
“Durante meses, ayudamos a las víctimas a derrotar a sus atacantes y privamos a la red Hive de las ganancias de la extorsión. En pocas palabras usando medios legales hackeamos a los hackers. Le dimos la vuelta a Hive y acabamos con su modelo de negocio”.
Las agencias dijeron que Hive se ha centrado en 1500 víctimas en más de 80 países desde que surgió en junio de 2021, y el fiscal general Merrick Garland enumeró docenas de instancias específicas en las que pudieron ayudar a las víctimas a lidiar con un ataque de ransomware destacando la afinidad del grupo para apuntar a las escuelas. y hospitales durante la pandemia de COVID-19.
El grupo ganó al menos $ 100 millones en su primer año de operación.
“El FBI interrumpió un ataque de ransomware Hive contra los sistemas informáticos de un distrito escolar de Texas y la oficina proporcionó claves de descifrado al distrito escolar evitando que hiciera un pago de rescate de $ 5 millones” dijo Garland.
“Ese mismo mes, el FBI desbarató un ataque de ransomware Hive en un hospital de Luisiana, salvando a la víctima del pago de un rescate de $3 millones. El FBI también pudo desbaratar un ataque a una empresa de servicios alimentarios, proporcionando a la empresa claves de descifrado y salvando a la víctima de un pago de rescate de 10 millones de dólares”.
Wray dijo que la operación se realizó en cooperación con Europol, así como con las agencias de aplicación de la ley en Alemania, los Países Bajos, Canadá, Francia, Irlanda, Lituania, Noruega, Portugal, Rumania, España, Suecia y el Reino Unido.
El FBI dijo que proporcionó más de 300 claves de descifrado a las víctimas de Hive actualmente bajo ataque y más de 1,000 claves a víctimas anteriores.
Garland dijo que finalmente decidieron interrumpir los sistemas del grupo después de encontrar servidores informáticos ubicados en Los Ángeles que fueron utilizados por los actores de Hive para almacenar información crítica. Se apoderaron de los servidores el miércoles por la noche y cerraron el sitio de red oscura de Hive. Un aviso de incautación de varias agencias estadounidenses e internacionales ahora aparece en el sitio de fuga del grupo.
“La interrupción coordinada de las redes informáticas de Hive, luego de meses de descifrar víctimas en todo el mundo, muestra lo que podemos lograr al combinar una búsqueda incesante de información técnica útil para compartir con las víctimas con investigaciones destinadas a desarrollar operaciones que afecten duramente a nuestros adversarios” dijo Wray. dicho.
Señaló que durante su tiempo en los sistemas de Hive descubrieron que solo alrededor del 20 % de las víctimas denunciaron sus incidentes de ransomware a las fuerzas del orden público, lo que destaca el problema persistente de que las víctimas simplemente no se presentan y, en cambio, pagan rescates.
Europol dijo que el éxito de Hive se basaba en su modelo de “ransomware como servicio”, en el que los afiliados recibían el 80 % del rescate y los desarrolladores del ransomware recibían el otro 20 %.
Señalaron que se llevaron a cabo reuniones operativas en Portugal y los Países Bajos para respaldar la operación, proporcionando enlaces a “datos disponibles para varios casos penales dentro y fuera de la UE, y respaldaron la investigación a través de criptomonedas, malware, descifrado y análisis forense”.
No se anunciaron arrestos y Garland se negó a comentar cuando se le preguntó si se esperaba alguno. Pero Europol dijo que se desplegaron cuatro expertos para “coordinar las actividades sobre el terreno”.
Wray dijo a los periodistas que “cualquier persona involucrada con Hive debería estar preocupada porque esta investigación aún está en curso”. Agregó que los involucrados pueden ser juzgados en Estados Unidos o en Europa.
Wray señaló que el trabajo del FBI en este caso fue especial porque nunca habían tenido este tipo de acceso al backend de un grupo de ransomware.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.