El FBI hackea a los hackers de Hive

Los servidores del grupo fueron incautados en el marco de una operación policial mundial. Sec enviaron claves a las víctimas, evitando el pago de 130 millones de dólares en rescates.

Las autoridades federales de EE.UU. han incautado los sitios Tor de pago y filtración de datos pertenecientes a la operación del ransomware Hive, que la banda utilizaba para recaudar millones de dólares en pagos de extorsión. El sitio web de Hive muestra ahora una notificación en la que se indica que ha sido incautado por una coalición policial internacional que incluía al Departamento de Justicia y al FBI.

En un comunicado, el FBI explica que comenzó a infiltrarse en las redes de Hive en julio del año pasado y finalmente obtuvo sus claves de descifrado. “La desarticulación por el Departamento de Justicia del grupo de ransomware Hive debería hablar con tanta claridad a las víctimas de la ciberdelincuencia como a los autores”, declaró la Fiscal General Adjunta Lisa O. Monaco. “En una operación cibernética del siglo XXI, nuestro equipo de investigación le dio la vuelta a la tortilla a Hive, robando sus claves de descifrado, pasándolas a las víctimas y, en última instancia, evitando más de 130 millones de dólares en pagos por ransomware. Seguiremos contraatacando a la ciberdelincuencia por todos los medios posibles y situando a las víctimas en el centro de nuestros esfuerzos para mitigar las ciberamenazas”.

“La desarticulación coordinada de las redes informáticas de Hive demuestra lo que podemos conseguir combinando una búsqueda incesante de información técnica útil para compartir con las víctimas con una investigación dirigida a desarrollar operaciones que golpeen duramente a nuestros adversarios”, dijo el director del FBI, Christopher Wray. “El FBI seguirá aprovechando nuestras herramientas de inteligencia y de aplicación de la ley, nuestra presencia global y nuestras asociaciones para contrarrestar a los ciberdelincuentes que tienen como objetivo las empresas y organizaciones estadounidenses”.

Desde junio de 2021, el grupo de ransomware Hive ha atacado a más de 1.500 víctimas en todo el mundo y ha recibido más de 100 millones de dólares en pagos de rescates. Los ataques han causado importantes trastornos en las operaciones diarias de las víctimas en todo el mundo y en su momento afectaron las respuestas a la pandemia COVID-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes.  

Hive utilizó un modelo de ransomware como servicio (RaaS) con administradores y afiliados. RaaS es un modelo basado en suscripciones en el que los desarrolladores o administradores desarrollan una cepa de ransomware y crean una interfaz fácil de usar con la que manejarlo, y luego reclutan afiliados para desplegar el ransomware contra las víctimas. Los afiliados identificaban objetivos y desplegaban este software malicioso prefabricado para atacar a las víctimas y luego ganaban un porcentaje de cada rescate pagado con éxito.

Los actores de Hive empleaban un modelo de ataque de doble extorsión. Antes de cifrar el sistema de la víctima, el afiliado exfiltraba o robaba datos confidenciales. A continuación, la filial pedía un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados. Una vez que la víctima paga, los afiliados y los administradores se repartían el rescate al 80/20. Hive publicaba los datos de las víctimas que no pagaban.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022