O FBI se infiltrou secretamente na rede Hive e, além dos principais servidores e chaves de descriptografia, até assumiu a página de vazamento do grupo Hive na dark web. Ao fazê-lo, o FBI, o BKA alemão, a polícia de Baden-Württemberg e a Europol frustraram os pedidos de resgate de mais de 130 milhões de dólares americanos.
O Departamento de Justiça dos EUA anunciou que sua campanha de interrupção de um mês contra o grupo de ransomware Hive agora deu frutos. O grupo de ransomware foi responsável por mais de 1.500 vítimas em mais de 80 países. Incluindo hospitais, distritos escolares, empresas financeiras e infraestrutura crítica (KRITIS). A ação foi um esforço conjunto do FBI, do BKA alemão, da polícia de Baden-Württemberg e da Europol.
Mais de 1.300 chaves de descriptografia para vítimas do Hive
Já no final de julho de 2022, o FBI penetrou nas redes de computadores do Hive, capturou suas chaves de descriptografia e as entregou às vítimas. Como resultado, $ 130 milhões no resgate exigido já não foram pagos. Desde que se infiltrou na rede do Hive em julho de 2022, o FBI liberou mais de 300 chaves de descriptografia para as vítimas do Hive que foram visadas. Além disso, o FBI distribuiu mais de 1.000 chaves de descriptografia adicionais para vítimas anteriores do Hive.
Finalmente, o departamento anunciou hoje que, em coordenação com as autoridades policiais alemãs (Bundeskriminalamt, CID Esslingen) e a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, assumiu o controle dos servidores e sites que a Hive usa para se comunicar com seus membros, aumentar a capacidade do Hive de atacar e chantagear as vítimas foi desativado.
Vigilância Cibernética do Século XXI
"A interrupção do grupo de ransomware Hive pelo Departamento de Justiça deve falar tão alto para as vítimas de crimes cibernéticos quanto para os perpetradores", disse a procuradora-geral assistente Lisa O. Monaco. “Em uma vigilância cibernética do século 21, nossa equipe de investigação virou a mesa ao roubar as chaves de descriptografia do Hive e entregá-las às vítimas, evitando pagamentos de mais de US$ 130 milhões por ransomware. Continuaremos a fazer tudo o que pudermos para combater o cibercrime e colocar as vítimas no centro de nossos esforços para reduzir a ameaça cibernética.”
Hive até chantageou hospitais
Os ataques de ransomware Hive interromperam significativamente as operações diárias das vítimas em todo o mundo e impactaram as respostas à pandemia de COVID-19. Em um caso, um hospital atacado pelo ransomware Hive teve que recorrer a métodos análogos para tratar os pacientes existentes e não conseguiu aceitar novos pacientes imediatamente após o ataque.
A Hive usou um modelo de ransomware como serviço (RaaS) com administradores e afiliados. RaaS é um modelo baseado em assinatura, onde os desenvolvedores criam ransomware e criam uma interface fácil de usar. Os parceiros são então recrutados para usar o ransomware contra as vítimas. Os parceiros identificaram os alvos e implantaram o software malicioso pronto para atacar as vítimas. O grupo Hive ganha uma porcentagem em cada pagamento de resgate bem-sucedido.
Modelo da Hive usou chantagem dupla
Os atores do Hive usaram um modelo de ataque de dupla extorsão. Antes de criptografar o sistema da vítima, o parceiro deve exfiltrar ou roubar dados confidenciais. O parceiro então exigiu um resgate tanto pela descriptografia do sistema quanto pela promessa de não publicar os dados roubados. Depois que a vítima paga, parceiros e administradores dividem o resgate em 80/20. A Hive publicou os dados das vítimas que não pagaram em sua página de vazamento.
Mais em Justice.gov