Desmantelada unha infraestrutura do grupo criminal *HIVE dirixida a realizar ataques de *ransomware por todo o mundo
Os autores do *ransomware *Hive atacaron a máis de 1.300 empresas en todo o mundo, así como sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública
Este tipo de *ciberataque segue un modelo -“*ransomware como servizo (*RaaS)”- no que os desenvolvedores crean, e actualizan o *malware, e os afiliados levan a cabo os ataques de *ransomware
A operación, na que participaron axentes da Policía Nacional xunto á oficina do FBI en *Tampa (Florida) e a Policía de Alemaña, entre outros países, permitiu recuperar as claves de descifrado e compartilas con moitas das vítimas para que puidesen acceder aos seus datos sen pagar o rescate
27/01/23
Axentes da Policía Nacional, no marco dunha investigación internacional coordinada por EUROPOL, e en colaboración co FBI e a Policía de Alemaña, participaron nunha operación que permitiu desmantelar a infraestrutura utilizada polo grupo criminal *Hive, autor de miles de ataques de tipo *Ransomware por todo o mundo. A operación impediu o uso do *ransomware *Hive, do que se serviron para atacar a máis de 1.300 empresas en todo o mundo, así como a sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública.La operación en España comenzó en octubre del año 2021 con la recepción de una denuncia interpuesta por una empresa de nuestro país, víctima de un ataque sufrido por un ransomware de la familia HIVE, procedente del grupo criminal del mismo nombre.
Con la investigación ya en marcha, se produjeron ataques a nuevas víctimas en España, motivo por el que especialistas en la lucha contra la ciberdelincuencia de la Policía Nacional llevaron a cabo una profunda labor de investigación, análisis de datos, recopilación de información, muestras de malware y de herramientas utilizadas durante los ataques. Esto permitió a nuestros agentes el acceso a un grupo de trabajo, coordinado por EUROPOL, en el que participaban un gran número de países, también afectados por ataques de esta familia de ransomware con el objetivo de desarticular el entramado criminal.
Dentro del grupo de trabajo, la Policía Nacional es la agencia que más casos de ataques documentados ha aportado, con un total de 18 desde el inicio de la investigación. Además, el grupo de Ciberataques ha contado con el asesoramiento del INCIBE-CERT y de empresas privadas de ciberinteligencia como KELA en labores de análisis técnico forense así como de técnicas avanzadas de análisis de fuentes abiertas y redes sociales.
Gracias a la labor de inteligencia efectuada entre todos los países cooperantes (13 en total), el FBI de Tampa (Florida) y la Policía de Alemania determinaron la ubicación del servidor principal utilizado por los atacantes, estableciéndose un operativo para desmantelar dicha infraestructura, inhabilitando por completo la actividad delictiva del grupo criminal HIVE.
Han atacado a más de 1.300 empresas en todo el mundo, así como a sectores de infraestructura crítica
La modalidad de ciberdelincuencia de ransomware ha evolucionado muy rápidamente en los últimos años, consiguiendo altos niveles de sofistificación a nivel técnico, y produciéndose varios niveles de extorsión para la víctima. El primero se produce cuando el atacante cifra los sistemas de una empresa y solicita el rescate económico para descifrar dicha información. Para ello, amenazan a las víctimas con una doble extorsión en la que advierte de que si no realiza el pago solicitado, dicha información será publicada en Internet y puesta a la venta en diferentes foros o mercados ilegales. Además, se llega a producir una triple extorsión cuando el atacante ha conseguido información sensible de terceros afectados y contacta con los mismos de forma directa para extorsionarles mediante la amenaza de hacer públicos sus datos personales si no pagan un rescate para impedirlo.
En el último año, el ransomware HIVE ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EE. UU. Concretamente, desde junio de 2021, más de 1.500 empresas de más de 80 países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de 100 millones de euros en pagos de rescate.
Desde junio de 2021 hasta noviembre de 2022, los investigados utilizaron el ransomware HIVE para apuntar a una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica y salud pública. En uno de sus mayores ataques, los afiliados de HIVE atacaron un hospital, perturbando gravemente el funcionamiento del mismo durante la pandemia de COVID-19.
Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de HIVE obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos.
La operación ha evitado el pago de 120 millones de euros en rescates
Europol impulsó los esfuerzos de mitigación con otros países de la UE para impedir el despliegue de efectos perniciosos en las víctimas, con lo que se evitó que las empresas privadas fueran víctimas del ransomware HIVE. Las autoridades policiales proporcionaron la clave de descifrado a las empresas comprometidas para ayudarlas a descifrar sus datos sin recurrir al pago del rescate. Este esfuerzo ha impedido el pago de más de 130 millones de dólares, lo que equivale a unos 120 millones de euros en pagos por rescate.
Europol, además de facilitar el intercambio de información, ha apoyado la coordinación de la operación y ha financiado reuniones operativas en Portugal y los Países Bajos. En el marco de la operación, Europol ha brindado apoyo para el análisis de información técnica sobre casos judicializados dentro y fuera de la UE, así como para el estudio de operaciones con criptomonedas, malware, descifrado y análisis forense.
Por otra parte, también ha colaborado el Grupo de Trabajo Conjunto de Acción contra el ciberdelito (J-CAT) de Europol. Este equipo operativo, con carácter permanente, está formado por oficiales de enlace de delitos cibernéticos de diferentes países que trabajan en investigaciones de delitos altamente tecnificados o de “High Tech Crimen”.
Últimas novidades
-
A Policía Nacional detén a 20 persoas que estafaron case 120.000 euros mediante o método do “fillo en apertos”
05/12/25
-
A Policía Nacional e *Amifp presentan o seu calendario para 2026 cuxos beneficios se destinarán a persoas con discapacidade
05/12/25
-
A ONCE dedica un cupón ao *X aniversario da Unidade de Atención á Familia e Muller da Policía Nacional
05/12/25
-
Desarticulada unha organización criminal que *blanqueó máis de 700 millóns de euros con *criptomonedas
04/12/25