L'FBI si è infiltrato segretamente nella rete Hive e, oltre ai server delle chiavi e alle chiavi di decrittazione, ha persino rilevato la pagina di fuga del gruppo Hive sul dark web. In tal modo, l'FBI, il BKA tedesco, la polizia del Baden-Württemberg e l'Europol hanno sventato richieste di riscatto per oltre 130 milioni di dollari USA.
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato che la sua campagna di interruzione durata un mese contro il gruppo di ransomware Hive ha ora dato i suoi frutti. Il gruppo ransomware è stato responsabile di oltre 1.500 vittime in oltre 80 paesi. Compresi ospedali, distretti scolastici, società finanziarie e infrastrutture critiche (KRITIS). L'azione è stata uno sforzo congiunto dell'FBI, del BKA tedesco, della polizia del Baden-Württemberg e dell'Europol.
Oltre 1.300 chiavi di decrittazione per le vittime di Hive
Già alla fine di luglio 2022, l'FBI è penetrato nelle reti di computer di Hive, ha catturato le sue chiavi di decrittazione e le ha consegnate alle vittime. Di conseguenza, 130 milioni di dollari del riscatto richiesto non sono già stati pagati. Da quando si è infiltrato nella rete di Hive nel luglio 2022, l'FBI ha rilasciato oltre 300 chiavi di decrittazione alle vittime di Hive prese di mira. Inoltre, l'FBI ha distribuito oltre 1.000 chiavi di decrittazione aggiuntive alle precedenti vittime di Hive.
Infine, il dipartimento ha annunciato oggi che, in coordinamento con le forze dell'ordine tedesche (Bundeskriminalamt, CID Esslingen) e l'Unità nazionale olandese per la criminalità ad alta tecnologia, ha assunto il controllo dei server e dei siti Web utilizzati da Hive per comunicare con i suoi membri, l'aumento della capacità dell'alveare di attaccare e ricattare le vittime è stato disabilitato.
Sorveglianza informatica del 21° secolo
🔎 La pagina di fuga di Hive sul dark web mostra l'indicazione che è stata chiusa dalle autorità (Immagine: B2B-CS).
"L'interruzione del gruppo di ransomware Hive da parte del Dipartimento di Giustizia dovrebbe parlare tanto alle vittime del crimine informatico quanto agli autori", ha affermato l'assistente procuratore generale Lisa O. Monaco. “In una sorveglianza informatica del 21° secolo, il nostro team investigativo ha ribaltato la situazione rubando le chiavi di decrittazione di Hive e consegnandole alle vittime, impedendo alla fine oltre 130 milioni di dollari di pagamenti per il ransomware. Continueremo a fare tutto il possibile per combattere il crimine informatico e mettere le vittime al centro dei nostri sforzi per ridurre la minaccia informatica”.
Hive ha persino ricattato gli ospedali
Gli attacchi ransomware Hive hanno interrotto in modo significativo le operazioni quotidiane delle vittime in tutto il mondo e hanno influito sulle risposte alla pandemia di COVID-19. In un caso, un ospedale attaccato dal ransomware Hive ha dovuto ricorrere a metodi analoghi per trattare i pazienti esistenti e non è stato in grado di accettare nuovi pazienti subito dopo l'attacco.
Hive ha utilizzato un modello ransomware-as-a-service (RaaS) con amministratori e affiliati. RaaS è un modello basato su abbonamento, in cui gli sviluppatori creano ransomware e creano un'interfaccia facile da usare. I partner vengono quindi reclutati per utilizzare il ransomware contro le vittime. I partner hanno identificato gli obiettivi e distribuito il software dannoso già pronto per attaccare le vittime. Il gruppo Hive guadagna quindi una percentuale su ogni pagamento di riscatto andato a buon fine.
Il modello Hive ha usato il doppio ricatto
Gli attori di Hive hanno utilizzato un modello di attacco a doppia estorsione. Prima di crittografare il sistema vittima, il partner dovrebbe esfiltrare o rubare dati sensibili. Il partner ha quindi chiesto un riscatto sia per la decrittazione del sistema sia per la promessa di non pubblicare i dati rubati. Dopo che una vittima ha pagato, i partner e gli amministratori hanno diviso il riscatto 80 su 20. Hive ha pubblicato i dati delle vittime che non hanno pagato sulla sua pagina di fuga.
Altro su Justice.gov