Una investigación internacional coordinada por Europol junto al FBI, autoridades de Alemania, Países Bajos y de otras 10 naciones ha logrado desmantelar este peligroso grupo que encriptaba cifras y datos de grandes empresas y organizaciones exigiendo altos rescates en criptomonedas.
El prolífico ransomware había realizado más de 1.500 ataques desde 2021, superando los 80 países afectados, con una recaudación de casi 100 millones de euros en pagos de rescate para recuperar archivos y evitar la publicación de la información robada.
Las investigaciones indican que Hive ha sido responsable de las acciones contra multinacionales de tecnología de la información, petróleo y otras infraestructuras críticas en distintas partes del mundo, organismos gubernamentales, empresas de telecomunicaciones, fabricación, atención médica y salud pública. Algunos de los casos más conocidos fueron la afectación al Hospital Memorial Health de Estados Unidos, el servicio de salud pública de Costa Rica y los equipos informáticos de Tata Power, una de las principales empresas eléctricas de India.
La labor de inteligencia efectuada entre todos los países cooperantes, que fueron 13 en total, el FBI de Tampa (Florida) y la Policía de Alemania determinaron la ubicación del servidor principal utilizado por los atacantes, estableciéndose un operativo para desmantelar dicha infraestructura, inhabilitando por completo la actividad delictiva del grupo criminal HIVE.
En España, la Policía Nacional recibió 18 denuncias de empresas locales que fueron víctimas de este grupo de ransomware desde octubre de 2021, que derivaron en el aporte a la investigación de análisis de datos, recopilación de información, muestras de malware y de herramientas utilizadas durante los ataques, así como labores de análisis técnico forense. Para ello, se contó además con el apoyo de INCIBE-CERT y de empresas privadas de ciberinteligencia como KELA.
Por su parte, el FBI informó que ha logrado acceder a los sistemas de Hive desde julio de 2022, obteniendo así las claves de cifrado que fueron proporcionadas a muchas de las empresas y organismos víctimas de los ataques, quienes recuperaron el acceso a su información sin pagar los millonarios rescates, que podrían haber alcanzado los 120 millones de euros.
Cómo funcionaba Hive
Los ataques operaban bajo el modelo de ransomware-as-a-service (RaaS), en el que los desarrolladores reclutan afiliados para distribuir los códigos maliciosos y a cambio se llevan un porcentaje de las ganancias que se obtienen al cobrar los rescates. Europol reveló que cuando las víctimas pagaban, los afiliados recibían el 80% y los desarrolladores, el 20%.
La autoridad policial europea, a su vez, ha dado a conocer las metodologías de acción de Hive. Algunos afiliados obtuvieron acceso a las redes de las víctimas mediante el uso de inicios de sesión de un solo factor a través del protocolo de escritorio remoto, redes privadas virtuales y otras formas de conexión de red remota.
En otros casos, los delincuentes eludieron la autenticación multifactor y obtuvieron acceso explotando vulnerabilidades. Esto les permitió iniciar sesión sin solicitar el segundo factor de autenticación cambiando el nombre de usuario. También obtuvieron acceso inicial a las redes atacadas mediante la distribución de correos electrónicos de phishing con archivos adjuntos maliciosos y explotando las vulnerabilidades de los sistemas operativos de los dispositivos atacados.
Tras esta operación, en la página web de Hive que se encuentra en la Internet profunda puede leerse este mensaje: “Esta acción se ha llevado a cabo en coordinación con la Oficina del Fiscal de los Estados Unidos para el Distrito Medio de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia con la asistencia de Europol”.
Las autoridades no han informado si hubo detenciones, pero se espera que el análisis de los datos obtenidos en esta operación internacional, junto a otros casos relacionados, desencadene nuevas investigaciones.