El grupo de ransomware Hive había cobrado más de 100 millones de dólares en rescates desde su aparición en 2021. Ahora, el Departamento de Justicia de los Estados Unidos, con la colaboración internacional, entre otros de la Policía Nacional, ha llevado a cabo una operación que ha puesto fin a la banda.

El grupo de ransomware Hive hizo su aparición en junio de 2021. Desde entonces, ha conseguido hacerse con más de 100 millones dólares procedentes de los rescates a más de 1.500 víctimas de 80 países. Entre ellas, grandes empresas, hospitales e infraestructuras críticas a las que secuestraba sus datos y pedía un rescate por su recuperación.

Su actividad parecía no tener fin hasta que, en julio de 2022, el FBI puso en marcha una operación que culminó la pasada semana tras desmantelar el grupo.

«Hemos hackeado a los hackers». Con estas palabras, la vicefiscal general de Estados Unidos, Lisa Monaco, confirmaba la desarticulación de la banda en una operación que el FBI ha llevado a cabo con la colaboración de las autoridades de trece países, entre ellos España.

Coordinada a nivel europeo por Europol, la operación buscaba hacerse con el control de los servidores del grupo para paralizar la actividad del grupo.

Desmantelamiento de la infraestructura 

En julio de 2022, el FBI consiguió infiltrarse en la red informática de Hive robando las claves de descifrado que utilizaron para que las víctimas de este ransomware recuperasen sus datos. Con ello se consiguió evitar que pagasen cerca de 130 millones de dólares en rescates en todo el mundo.

A lo largo de los seis meses siguientes, estuvieron monitorizar las operaciones del grupo para conocer cómo operaban. Esto permitió dar a 300 víctimas de este ransomware y más de 1.000 compañías las claves de descifrado que necesitaban para recuperar sus datos y sistemas.

Tras la entrega de las claves que han evitado que las víctimas pagasen el rescate, las autoridades de seguridad han derribado la infraestructura y los servidores, quedando desmantelada la infraestructura operativa del grupo.

En una acción conjunta con la Policía Criminal Federal alemana, la Jefatura de Policía de Retlingen-CID Esslingen y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, se hicieron no solo con el control de los servidores.

También tomaron el control de los sitios web que utilizaba Hive para comunicarse con sus miembros. De esta forma, impidieron que el grupo pudiera atacar y extorsionar a más víctimas.

ransomware nuevos ataques modelo negocio ciberseguridad estudio Trend Micro noticia bit life media

Así actuaba Hive

Se ponía fin a la actividad de este grupo de ransomware que, en 2022, fue una de las familias más prolíficas, representando más del 15% de las intrusiones de este tupo. Según Mandiant, cerca del 50% de las víctimas públicas de Hive residían en Estados Unidos.

Sin embargo, su operativa se extendía también a países de Europa y Latinoamérica utilizando un modelo de ransomware como servicio (RaaS), de forma que compartían con sus afiliados el código malicioso para propagar las amenazas a cambio de una parte de las ganancias.

Además, también empleaban la técnica de la doble extorsión en sus ataques. Tras el robo de los datos confidenciales de las víctimas, encriptaban los sistemas y pedían un rescate, tanto para descifrar los sistemas como para no desvelar los datos robados.

Para los expertos, esta forma de actuar es una tendencia que comparten los actores de ransomware que están evolucionando de las tradicionales técnicas de ataque basadas en software hacia opciones como el rescate de información clave como datos personales o financieros o la propiedad intelectual.

La desarticulación del grupo ha puesto fin a sus acciones aunque no ha habido detenidos.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre