Una de las principales redes de ciberataque de ransomware del mundo (secuestro de datos), denominada “Hive”, acusada de haber extorsionado a más de 1,500 víctimas en todo el mundo, fue desmantelada por Estados Unidos.
El Departamento de Justicia estadounidense anunció este jueves 26 de enero su campaña de interrupción de meses de duración contra el grupo que atacó a víctimas de más de 80 países de todo el mundo.
Entre los atacados hubo hospitales, distritos escolares, empresas financieras e infraestructura crítica. Desde finales de julio de 2022, el FBI entró en las redes informáticas de Hive, capturó sus claves de descifrado y las devolvió a las víctimas de todo el mundo. Ello evitó que las víctimas tuvieran que pagar 130 millones de dólares en rescate exigido.
EL FBI LOGRÓ DEVOLVER 300 CLAVES ROBADAS POR HIVE
Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban siendo atacadas. Además, el FBI distribuyó más de mil claves de descifrado adicionales a las víctimas anteriores.
Finalmente, el departamento anunció que, en coordinación con las fuerzas del orden alemanas y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, ha tomado el control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros.
Desde junio de 2021, el grupo de ransomware Hive ha recibido más de 100 millones de dólares en pagos de rescate. Los ataques de ransomware han causado grandes interrupciones en las operaciones diarias de las víctimas en todo el mundo.
Incluso afectaron las respuestas a la pandemia de covid-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque.
TRAS CIBERATAQUE, HIVE PUBLICÓ DATOS DE VÍCTIMAS
Hive utilizó un modelo de ransomware como servicio (RaaS) con administradores, a veces llamados desarrolladores y afiliados. RaaS es un modelo basado en suscripción en el que los desarrolladores o administradores crean una cepa de ransomware y crean una interfaz fácil de usar con la que operarla y luego reclutar afiliados para implementar el ransomware contra las víctimas.
Los afiliados identificaron objetivos e implementaron este software malicioso ya hecho para atacar a las víctimas y luego ganaron un porcentaje de cada pago de rescate exitoso.
A su vez, emplearon un modelo de ataque de doble extorsión. Antes de cifrar el sistema de víctimas, el afiliado exfiltraría o robaría datos confidenciales. Luego, el afiliado solicitó un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados.
Los ciberdelincuentes con frecuencia se dirigían a los datos más sensibles del sistema de una víctima para aumentar la presión de pago. Después de que una víctima pagaba los afiliados y administradores dividían el rescate entre los participantes del ataque. Hive publicó los datos de las víctimas que no pagan en el sitio de fugas de Hive. N
