En el marc d'una operació internacional coordinada per EUROPOL que ha comptat amb la participació de la Policia Nacional

Desmantellada una infraestructura del grup criminal *HIVE dirigida a realitzar atacs de *ransomware per tot el món

Els autors del *ransomware *Hive han atacat a més de 1.300 empreses a tot el món, així com sectors d'infraestructura crítica com a instal·lacions governamentals, de tecnologies de la informació i de salut pública

Este tipus de ciberatac segueix un model -“*ransomware com a servei (*RaaS)”- en el qual els desenvolupadors creen, i actualitzen el *malware, i els afiliats duen a terme els atacs de *ransomware

L'operació, en la qual han participat agents de la Policia Nacional al costat de l'oficina del FBI en *Tampa (Florida) i la Policia d'Alemanya, entre altres països, ha permés recuperar les claus de desxifrat i compartir-les amb moltes de les víctimes perquè pogueren accedir a les seues dades sense pagar el rescat

27/01/23

Agents de la Policia Nacional, en el marc d'una recerca internacional coordinada per EUROPOL, i en col·laboració amb l'FBI i la Policia d'Alemanya, han participat en una operació que ha permés desmantellar la infraestructura utilitzada pel grup criminal *Hive, autor de milers d'atacs de tipus *Ransomware per tot el món. L'operació ha impedit l'ús del *ransomware *Hive, del qual s'haurien servit per a atacar a més de 1.300 empreses a tot el món, així com a sectors d'infraestructura crítica com a instal·lacions governamentals, de tecnologies de la informació i de salut pública.

La *operaci&*oacute;n en *Espa&*ntilde;a c*omenz&*oacute; a l'octubre de l'a&*ntilde;o 2021 amb la *recepci&*oacute;n d'una denúncia interposada per una empresa del nostre *pa&*iacute;s, *v&*iacute;cestafa d'un atac patit per un *ransomware de la família *HIVE, procedent del grup criminal del mateix nom.

Amb la *investigaci&*oacute;n ja en marxa, es van produir atacs a noves *v&*iacute;cestafes en *Espa&*ntilde;a, motiu pel qual especialistes en la lluita contra la ciberdelinqüència de la *Polic&*iacute;a Nacional van dur a terme una profunda labor de *investigaci&*oacute;n, *an&*aacute;lisi de dades, *recopilaci&*oacute;n de *informaci&*oacute;n, mostres de *malware i d'eines utilitzades durant els atacs. Això *permiti&*oacute; als nostres agents l'accés a un grup de treball, coordinat per EUROPOL, en el qual participaven un gran n&*uacute;mero de *pa&*iacute;*ses, *tambi&*eacute;n afectats per atacs d'esta família de *ransomware amb l'objectiu de desarticular l'entramat criminal.

Dins del grup de treball, la *Polic&*iacute;a Nacional és l'agència que m&*aacute;s casos d'atacs documentats ha aportat, amb un total de 18 des de l'inici de la *investigaci&*oacute;n. *Adem&*aacute;s, el grup de Ciberatacs ha comptat amb l'assessorament del *INCIBE-CERT i d'empreses privades de c*iberinteligencia com *KELA en labors de *an&*aacute;lisi t&*eacute;c*nico forense as&*iacute; com de t&*eacute;c*nicas avançades de *an&*aacute;lisi de fonts obertes i xarxes socials.

Gràcies a la labor d'intel·ligència efectuada entre tots els *pa&*iacute;*ses cooperants (13 en total), l'FBI de *Tampa (Florida) i la *Polic&*iacute;a d'Alemanya van determinar la *ubicaci&*oacute;n del servidor principal utilitzat pels atacants, *estableci&*eacute;*ndose un operatiu per a desmantellar aquesta infraestructura, inhabilitant per complet l'activitat delictiva del grup criminal *HIVE.

<*h3 c*lass="display-*4Serif">Han atacat a m&*aacute;s de 1.300 empreses a tot el món, as&*iacute; com a sectors d'infraestructura cr&*iacute;*tica

La modalitat de ciberdelinqüència de *ransomware ha evolucionat molt r&*aacute;*pidamente en els &*uacute;*ltimos a&*ntilde;us, aconseguint alts nivells de *sofistificaci&*oacute;n a nivell t&*eacute;c*nico, i *produci&*eacute;*ndose diversos nivells de *extorsi&*oacute;n per a la *v&*iacute;cestafa. El primer es produïx quan l'atacant xifra els sistemes d'una empresa i sol·licita el rescat *econ&*oacute;*mico per a desxifrar aquesta *informaci&*oacute;n. Per a això, amenacen a les *v&*iacute;cestafes amb una doble *extorsi&*oacute;n en la qual adverteix que si no realitza el pagament sol·licitat, dita *informaci&*oacute;n ser&*aacute; publicada en Internet i posada a la venda en diferents fòrums o mercats il·legals. *Adem&*aacute;s, s'arriba a produir una triple *extorsi&*oacute;n quan l'atacant ha aconseguit *informaci&*oacute;n sensible de tercers afectats i contacta amb els mateixos de manera directa per a extorquir-los mitjançant l'amenaça de fer p&*uacute;*blicos les seues dades personals si no paguen un rescat per a impedir-ho.

En el &*uacute;*ltimo a&*ntilde;o, el *ransomware *HIVE ha suposat una greu c*iberamenaza empleada per a comprometre i xifrar les dades i els sistemes *inform&*aacute;*ticos de grans multinacionals tant en la *Uni&*oacute;n Europea com als EUA Concretament, des de juny de 2021, m&*aacute;s de 1.500 empreses de m&*aacute;s de 80 *pa&*iacute;*ses de tot el món han sigut *v&*iacute;cestafes d'este *ransomware i han perdut prop de 100 milions d'euros en pagaments de rescat.

Des de juny de 2021 fins a novembre de 2022, els investigats van utilitzar el *ransomware *HIVE per a apuntar a una àmplia gamma d'empreses i sectors d'infraestructura cr&*iacute;*tica, incloses instal·lacions governamentals, empreses de telecomunicacions, *fabricaci&*oacute;n, *tecnolog&*iacute;a de la *informaci&*oacute;n i *atenci&*oacute;n m&*eacute;*dica i salut p&*uacute;*blica. En un dels seus majors atacs, els afiliats de *HIVE van atacar un hospital, pertorbant greument el funcionament del mateix durant la pandèmia de COVID-19.

Els afiliats atacaven a les empreses de diferents maneres. Alguns actors de *HIVE van obtindre accés a les xarxes de les *v&*iacute;cestafes mitjançant l'ús de credencials compromeses d'accés a serveis d'escriptori remot amb un sol factor de *autenticaci&*oacute;n, xarxes privades virtuals i altres protocols de c*onexi&*oacute;n de xarxa remota. En altres casos, van eludir la *autenticaci&*oacute;n *multifactor i van obtindre accés mitjançant la *explotaci&*oacute;n de vulnerabilitats. Per &*uacute;*ltimo, *tambi&*eacute;n van obtindre accés inicial a les xarxes de les *v&*iacute;cestafes distribuint correu-vos *electr&*oacute;*nicos de *phishing amb arxius adjunts maliciosos.

<*h3 c*lass="display-*4Serif">La *operaci&*oacute;n ha evitat el pagament de 120 milions d'euros en rescats

Europol *impuls&*oacute; els esforços de *mitigaci&*oacute;n amb uns altres *pa&*iacute;*ses de la UE per a impedir el desplegament d'efectes perniciosos en les *v&*iacute;cestafes, amb el que es *evit&*oacute; que les empreses privades foren *v&*iacute;cestafes del *ransomware *HIVE. Les autoritats policials van proporcionar la clau de desxifrat a les empreses compromeses per a ajudar-les a desxifrar les seues dades sense recórrer al pagament del rescat. Este esforç ha impedit el pagament de m&*aacute;s de 130 milions de d&*oacute;*lares, la qual cosa equival a uns 120 milions d'euros en pagaments per rescat.

Europol, *adem&*aacute;s de facilitar l'intercanvi de *informaci&*oacute;n, ha donat suport a la c*oordinaci&*oacute;n de la *operaci&*oacute;n i ha finançat reunions operatives a Portugal i els *Pa&*iacute;*ses Baixos. En el marc de la *operaci&*oacute;n, Europol ha brindat suport per al *an&*aacute;lisi de *informaci&*oacute;n t&*eacute;c*nica sobre casos judicialitzats dins i fora de la UE, as&*iacute; com per a l'estudi d'operacions amb c*riptomonedas, *malware, desxifrat i *an&*aacute;lisi forense.

D'altra banda, *tambi&*eacute;n ha col·laborat el Grup de Treball Conjunt de *Acci&*oacute;n contra el ciberdelicte (J-C*AT) d'Europol. Este equip operatiu, amb car&*aacute;cter permanent, *est&*aacute; format per oficials d'enllaç de delictes c*ibern&*eacute;*ticos de diferents *pa&*iacute;*ses que treballen en recerques de delictes altament tecnificats o de &*ldquo;*High *Tech Crim&*rdquo;.

Últimes notícies