En el marc d'una operació internacional coordinada per EUROPOL que ha comptat amb la participació de la Policia Nacional

Desmantellada una infraestructura del grup criminal HIVE dirigida a realitzar atacs de ransomware per tot el món

Els autors del ransomware Hive han atacat a més d'1.300 empreses a tot el món, així com sectors d'infraestructura crítica com a instal·lacions governamentals, de tecnologies de la informació i de salut pública

Aquest tipus de ciberatac segueix un model -“ransomware com a servei (RaaS)”- en el qual els desenvolupadors creen, i actualitzen el malware, i els afiliats duen a terme els atacs de ransomware

L'operació, en la qual han participat agents de la Policia Nacional al costat de l'oficina del FBI en Tampa (Florida) i la Policia d'Alemanya, entre altres països, ha permès recuperar les claus de desxifrat i compartir-les amb moltes de les víctimes perquè poguessin accedir a les seves dades sense pagar el rescat

27/01/23

Agents de la Policia Nacional, en el marc d'una recerca internacional coordinada per EUROPOL, i en col·laboració amb el FBI i la Policia d'Alemanya, han participat en una operació que ha permès desmantellar la infraestructura utilitzada pel grup criminal Hive, autor de milers d'atacs de tipus Ransomware per tot el món. L'operació ha impedit l'ús del ransomware Hive, del que s'haurien servit per atacar a més d'1.300 empreses a tot el món, així com a sectors d'infraestructura crítica com a instal·lacions governamentals, de tecnologies de la informació i de salut pública.

L'operació a Espanya va començar a l'octubre de l'any 2021 amb la recepció d'una denúncia interposada per una empresa del nostre país, víctima d'un atac sofert per un ransomware de la família HIVE, procedent del grup criminal del mateix nom.

Amb la recerca ja en marxa, es van produir atacs a noves víctimes a Espanya, motiu pel qual especialistes en la lluita contra la ciberdelinqüència de la Policia Nacional van dur a terme una profunda labor de recerca, anàlisi de dades, recopilació d'informació, mostres de malware i d'eines utilitzades durant els atacs. Això va permetre als nostres agents l'accés a un grup de treball, coordinat per EUROPOL, en el qual participaven un gran nombre de països, també afectats per atacs d'aquesta família de ransomware amb l'objectiu de desarticular l'entramat criminal.

Dins del grup de treball, la Policia Nacional és l'agència que més casos d'atacs documentats ha aportat, amb un total de 18 des de l'inici de la recerca. A més, el grup de Ciberatacs ha comptat amb l'assessorament de l'INCIBE-CERT i d'empreses privades de ciberinteligencia com KELA en labors d'anàlisi tècnica forense així com de tècniques avançades d'anàlisis de fonts obertes i xarxes socials.

Gràcies a la labor d'intel·ligència efectuada entre tots els països cooperants (13 en total), el FBI de Tampa (Florida) i la Policia d'Alemanya van determinar la ubicació del servidor principal utilitzat pels atacants, establint-se un operatiu per desmantellar aquesta infraestructura, inhabilitant per complet l'activitat delictiva del grup criminal HIVE.

Han atacat a més d'1.300 empreses a tot el món, així com a sectors d'infraestructura crítica

La modalitat de ciberdelinqüència de ransomware ha evolucionat molt ràpidament en els últims anys, aconseguint alts nivells de sofistificación a nivell tècnic, i produint-se diversos nivells d'extorsió per a la víctima. El primer es produeix quan l'atacant xifra els sistemes d'una empresa i sol·licita el rescat econòmic per desxifrar aquesta informació. Per a això, amenacen a les víctimes amb una doble extorsió en la qual adverteix que si no realitza el pagament sol·licitat, aquesta informació serà publicada en Internet i posada a la venda en diferents fòrums o mercats il·legals. A més, s'arriba a produir una triple extorsió quan l'atacant ha aconseguit informació sensible de tercers afectats i contacta amb els mateixos de forma directa per extorquir-los mitjançant l'amenaça de fer públics les seves dades personals si no paguen un rescat per impedir-ho.

En l'últim any, el ransomware HIVE ha suposat una greu ciberamenaza empleada per comprometre i xifrar les dades i els sistemes informàtics de grans multinacionals tant en la Unió Europea com en els EE. UU. Concretament, des de juny de 2021, més d'1.500 empreses de més de 80 països de tot el món han estat víctimes d'aquest ransomware i han perdut prop de 100 milions d'euros en pagaments de rescat.

Des de juny de 2021 fins a novembre de 2022, els investigats van utilitzar el ransomware HIVE per apuntar a una àmplia gamma d'empreses i sectors d'infraestructura crítica, incloses instal·lacions governamentals, empreses de telecomunicacions, fabricació, tecnologia de la informació i atenció mèdica i salut pública. En un dels seus majors atacs, els afiliats d'HIVE van atacar un hospital, pertorbant greument el funcionament del mateix durant la pandèmia de Covid-19.

Els afiliats atacaven a les empreses de diferents maneres. Alguns actors d'HIVE van obtenir accés a les xarxes de les víctimes mitjançant l'ús de credencials compromeses d'accés a serveis d'escriptori remot amb un sol factor d'autenticació, xarxes privades virtuals i altres protocols de connexió de xarxa remota. En altres casos, van eludir l'autenticació multifactor i van obtenir accés mitjançant l'explotació de vulnerabilitats. Finalment, també van obtenir accés inicial a les xarxes de les víctimes distribuint correus electrònics de phishing amb arxius adjunts maliciosos.

L'operació ha evitat el pagament de 120 milions d'euros en rescats

Europol va impulsar els esforços de mitigació amb altres països de la UE per impedir el desplegament d'efectes perniciosos en les víctimes, amb el que es va evitar que les empreses privades fossin víctimes del ransomware HIVE. Les autoritats policials van proporcionar la clau de desxifrat a les empreses compromeses per ajudar-les a desxifrar les seves dades sense recórrer al pagament del rescat. Aquest esforç ha impedit el pagament de més de 130 milions de dòlars, la qual cosa equival a uns 120 milions d'euros en pagaments per rescat.

Europol, a més de facilitar l'intercanvi d'informació, ha recolzat la coordinació de l'operació i ha finançat reunions operatives a Portugal i els Països Baixos. En el marc de l'operació, Europol ha brindat suport per a l'anàlisi d'informació tècnica sobre casos judicializados dins i fora de la UE, així com per a l'estudi d'operacions amb criptomonedas, malware, desxifrat i anàlisis forense.

D'altra banda, també ha col·laborat el Grup de Treball Conjunt d'Acció contra el ciberdelito (J-CAT) d'Europol. Aquest equip operatiu, amb caràcter permanent, està format per oficials d'enllaç de delictes cibernètics de diferents països que treballen en recerques de delictes altament tecnificats o d'High “Tech Crim”.