No marco dunha operación internacional coordinada por EUROPOL que contou coa participación da Policía Nacional

Desmantelada unha infraestrutura do grupo criminal *HIVE dirixida a realizar ataques de *ransomware por todo o mundo

Os autores do *ransomware *Hive atacaron a máis de 1.300 empresas en todo o mundo, así como sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública

Este tipo de *ciberataque segue un modelo -“*ransomware como servizo (*RaaS)”- no que os desenvolvedores crean, e actualizan o *malware, e os afiliados levan a cabo os ataques de *ransomware

A operación, na que participaron axentes da Policía Nacional xunto á oficina do FBI en *Tampa (Florida) e a Policía de Alemaña, entre outros países, permitiu recuperar as claves de descifrado e compartilas con moitas das vítimas para que puidesen acceder aos seus datos sen pagar o rescate

27/01/23

Axentes da Policía Nacional, no marco dunha investigación internacional coordinada por EUROPOL, e en colaboración co FBI e a Policía de Alemaña, participaron nunha operación que permitiu desmantelar a infraestrutura utilizada polo grupo criminal *Hive, autor de miles de ataques de tipo *Ransomware por todo o mundo. A operación impediu o uso do *ransomware *Hive, do que se serviron para atacar a máis de 1.300 empresas en todo o mundo, así como a sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública.

<*p>A *operaci&*oacute;*n en *Espa&*ntilde;a *comenz&*oacute; en outubro do a&*ntilde;ou 2021 coa *recepci&*oacute;*n dunha denuncia interposta por unha empresa do noso *pa&*iacute;s, *v&*iacute;*ctima dun ataque sufrido por un *ransomware da familia *HIVE, procedente do grupo criminal do mesmo nome. <*p>Coa *investigaci&*oacute;*n xa en marcha, producíronse ataques a novas *v&*iacute;*ctimas en *Espa&*ntilde;a, motivo polo que especialistas na loita contra a *ciberdelincuencia da *Polic&*iacute;a Nacional levaron a cabo un profundo labor de *investigaci&*oacute;*n, *an&*aacute;*lisis de datos, *recopilaci&*oacute;*n de *informaci&*oacute;*n, mostras de *malware e de ferramentas utilizadas durante os ataques. Isto *permiti&*oacute; aos nosos axentes o acceso a un grupo de traballo, coordinado por EUROPOL, no que participaban un gran *n&*uacute;mero de *pa&*iacute;*ses, *tambi&*eacute;*n afectados por ataques desta familia de *ransomware co obxectivo de desarticular a armazón criminal. <*p>Dentro do grupo de traballo, a *Polic&*iacute;a Nacional é a axencia que *m&*aacute;s casos de ataques documentados achegou, cun total de 18 desde o inicio da *investigaci&*oacute;*n. *Adem&*aacute;s, o grupo de C*iberataques contou co asesoramento do *INCIBE-C*ERT e de empresas privadas de *ciberinteligencia como *KELA en labores de *an&*aacute;*lisis *t&*eacute;*cnico forense *as&*iacute; como de *t&*eacute;*cnicas avanzadas de *an&*aacute;*lisis de fontes abertas e redes sociais. <*p>Grazas ao labor de intelixencia efectuada entre todos os *pa&*iacute;*ses cooperantes (13 en total), o FBI de *Tampa (Florida) e a *Polic&*iacute;a de Alemaña determinaron a *ubicaci&*oacute;*n do servidor principal utilizado polos atacantes, *estableci&*eacute;*ndose un operativo para desmantelar a esta infraestrutura, inhabilitando por completo a actividade delituosa do grupo criminal *HIVE. <*h3 *class="*display-*4Serif">Atacaron a *m&*aacute;s de 1.300 empresas en todo o mundo, *as&*iacute; como a sectores de infraestrutura *cr&*iacute;*tica <*p>A modalidade de *ciberdelincuencia de *ransomware evolucionou moi *r&*aacute;*pidamente nos &*uacute;*ltimos a&*ntilde;vos, conseguindo altos niveis de *sofistificaci&*oacute;*n a nivel *t&*eacute;*cnico, e *produci&*eacute;*ndose varios niveis de *extorsi&*oacute;*n para a *v&*iacute;*ctima. O primeiro prodúcese cando o atacante cifra os sistemas dunha empresa e solicita o rescate *econ&*oacute;mico para descifrar esta *informaci&*oacute;*n. Para iso, ameazan ás *v&*iacute;*ctimas cunha dobre *extorsi&*oacute;*n na que advirte de que se non realiza o pago solicitado, esta *informaci&*oacute;*n ser&*aacute; publicada en Internet e posta á venda en diferentes foros ou mercados ilegais. *Adem&*aacute;s, chégase a producir unha tripla *extorsi&*oacute;*n cando o atacante conseguiu *informaci&*oacute;*n sensible de terceiros afectados e contacta cos mesmos de forma directa para *extorsionarles mediante a ameaza de facer *p&*uacute;*blicos os seus datos persoais se non pagan un rescate para #impedir. <*p>No &*uacute;*ltimo a&*ntilde;ou, o *ransomware *HIVE supuxo unha grave *ciberamenaza empregada para comprometer e cifrar os datos e os sistemas *inform&*aacute;*ticos de grandes multinacionais tanto na *Uni&*oacute;*n Europea como na EE. *UU. Concretamente, desde xuño de 2021, *m&*aacute;s de 1.500 empresas de *m&*aacute;s de 80 *pa&*iacute;*ses de todo o mundo foron *v&*iacute;*ctimas deste *ransomware e perderon preto de 100 millóns de euros en pagos de rescate. <*p>Desde xuño do 2021 ata novembro de 2022, os investigados utilizaron o *ransomware *HIVE para apuntar a unha ampla gama de empresas e sectores de infraestrutura *cr&*iacute;*tica, incluídas instalacións gobernamentais, empresas de telecomunicacións, *fabricaci&*oacute;*n, *tecnolog&*iacute;a da *informaci&*oacute;*n e *atenci&*oacute;*n *m&*eacute;*dica e saúde *p&*uacute;*blica. Nun dos seus maiores ataques, os afiliados de *HIVE atacaron un hospital, perturbando gravemente o funcionamento do mesmo durante a pandemia de COVID-19. <*p>Os afiliados atacaban ás empresas de diferentes maneiras. Algúns actores de *HIVE obtiveron acceso ás redes das *v&*iacute;*ctimas mediante o uso de credenciais comprometidas de acceso a servizos de escritorio remoto cun só factor de *autenticaci&*oacute;*n, redes privadas virtuais e outros protocolos de *conexi&*oacute;*n de rede remota. Noutros casos, eludiron a *autenticaci&*oacute;*n *multifactor e obtiveron acceso mediante a *explotaci&*oacute;*n de vulnerabilidades. Por &*uacute;*ltimo, *tambi&*eacute;*n obtiveron acceso inicial ás redes das *v&*iacute;*ctimas distribuíndo corrédevos *electr&*oacute;*nicos de *phishing con arquivos adxuntos *maliciosos. <*h3 *class="*display-*4Serif">A *operaci&*oacute;*n evitou o pago de 120 millóns de euros en rescates <*p>*Europol *impuls&*oacute; os esforzos de *mitigaci&*oacute;*n con outros *pa&*iacute;*ses da UE para impedir o despregamento de efectos perniciosos nas *v&*iacute;*ctimas, co que se *evit&*oacute; que as empresas privadas fosen *v&*iacute;*ctimas do *ransomware *HIVE. As autoridades policiais proporcionaron a clave de descifrado ás empresas comprometidas para axudalas a descifrar os seus datos sen recorrer ao pago do rescate. Este esforzo impediu o pago de *m&*aacute;s de 130 millóns de d&*oacute;lareiras, o que equivale a uns 120 millóns de euros en pagos por rescate. <*p>*Europol, *adem&*aacute;s de facilitar o intercambio de *informaci&*oacute;*n, apoiou a *coordinaci&*oacute;*n da *operaci&*oacute;*n e financiou reunións operativas en Portugal e os *Pa&*iacute;*ses Baixos. No marco da *operaci&*oacute;*n, *Europol brindou apoio para o *an&*aacute;*lisis de *informaci&*oacute;*n *t&*eacute;*cnica sobre casos xudicializados dentro e fóra da UE, *as&*iacute; como para o estudo de operacións con *criptomonedas, *malware, descifrado e *an&*aacute;*lisis forense. <*p>Por outra banda, *tambi&*eacute;*n colaborou o Grupo de Traballo Conxunto de *Acci&*oacute;*n contra o *ciberdelito (*J-C*AT) de *Europol. Este equipo operativo, con *car&*aacute;*cter permanente, *est&*aacute; formado por oficiais de ligazón de delitos *cibern&*eacute;*ticos de diferentes *pa&*iacute;*ses que traballan en investigacións de delitos altamente *tecnificados ou de &*ldquo;*High *Tech Crime&*rdquo;.

Últimas novidades