O FBI se infiltrou secretamente na rede Hive e, além dos principais servidores e chaves de descriptografia, até assumiu a página de vazamento do grupo Hive na dark web. Ao fazê-lo, o FBI, o BKA alemão, a polícia de Baden-Württemberg e a Europol frustraram os pedidos de resgate de mais de 130 milhões de dólares americanos.
O Departamento de Justiça dos EUA anunciou que sua campanha de interrupção de um mês contra o grupo de ransomware Hive agora deu frutos. O grupo de ransomware foi responsável por mais de 1.500 vítimas em mais de 80 países. Incluindo hospitais, distritos escolares, empresas financeiras e infraestrutura crítica (KRITIS). A ação foi um esforço conjunto do FBI, do BKA alemão, da polícia de Baden-Württemberg e da Europol.
Mais de 1.300 chaves de descriptografia para vítimas do Hive
Já no final de julho de 2022, o FBI penetrou nas redes de computadores do Hive, capturou suas chaves de descriptografia e as entregou às vítimas. Como resultado, $ 130 milhões no resgate exigido já não foram pagos. Desde que se infiltrou na rede do Hive em julho de 2022, o FBI liberou mais de 300 chaves de descriptografia para as vítimas do Hive que foram visadas. Além disso, o FBI distribuiu mais de 1.000 chaves de descriptografia adicionais para vítimas anteriores do Hive.
Finalmente, o departamento anunciou hoje que, em coordenação com as autoridades policiais alemãs (Bundeskriminalamt, CID Esslingen) e a Unidade Nacional Holandesa de Crimes de Alta Tecnologia, assumiu o controle dos servidores e sites que a Hive usa para se comunicar com seus membros, aumentar a capacidade do Hive de atacar e chantagear as vítimas foi desativado.
Vigilância Cibernética do Século XXI
🔎 A página de vazamento do Hive na dark web mostra a indicação de que foi encerrado pelas autoridades (Imagem: B2B-CS).
"A interrupção do grupo de ransomware Hive pelo Departamento de Justiça deve falar tão alto para as vítimas de crimes cibernéticos quanto para os perpetradores", disse a procuradora-geral assistente Lisa O. Monaco. “Em uma vigilância cibernética do século 21, nossa equipe de investigação virou a mesa ao roubar as chaves de descriptografia do Hive e entregá-las às vítimas, evitando pagamentos de mais de US$ 130 milhões por ransomware. Continuaremos a fazer tudo o que pudermos para combater o cibercrime e colocar as vítimas no centro de nossos esforços para reduzir a ameaça cibernética.”
Hive até chantageou hospitais
Os ataques de ransomware Hive interromperam significativamente as operações diárias das vítimas em todo o mundo e impactaram as respostas à pandemia de COVID-19. Em um caso, um hospital atacado pelo ransomware Hive teve que recorrer a métodos análogos para tratar os pacientes existentes e não conseguiu aceitar novos pacientes imediatamente após o ataque.
A Hive usou um modelo de ransomware como serviço (RaaS) com administradores e afiliados. RaaS é um modelo baseado em assinatura, onde os desenvolvedores criam ransomware e criam uma interface fácil de usar. Os parceiros são então recrutados para usar o ransomware contra as vítimas. Os parceiros identificaram os alvos e implantaram o software malicioso pronto para atacar as vítimas. O grupo Hive ganha uma porcentagem em cada pagamento de resgate bem-sucedido.
Modelo da Hive usou chantagem dupla
Os atores do Hive usaram um modelo de ataque de dupla extorsão. Antes de criptografar o sistema da vítima, o parceiro deve exfiltrar ou roubar dados confidenciais. O parceiro então exigiu um resgate tanto pela descriptografia do sistema quanto pela promessa de não publicar os dados roubados. Depois que a vítima paga, parceiros e administradores dividem o resgate em 80/20. A Hive publicou os dados das vítimas que não pagaram em sua página de vazamento.
Mais em Justice.gov