Sala de prensa

A operación en España comezou en outubro do ano 2021 coa recepción dunha denuncia interposta por unha empresa do noso país, vítima dun ataque sufrido por un ransomware da familia HIVE, procedente do grupo criminal do mesmo nome.

Coa investigación xa en marcha, producíronse ataques a novas vítimas en España, motivo polo que especialistas na loita contra a ciberdelincuencia da Policía Nacional levaron a cabo un profundo labor de investigación, análise de datos, recompilación de información, mostras de malware e de ferramentas utilizadas durante os ataques. Isto permitiu aos nosos axentes o acceso a un grupo de traballo, coordinado por EUROPOL, no que participaban un gran número de países, tamén afectados por ataques desta familia de ransomware co obxectivo de desarticular a armazón criminal.

Dentro do grupo de traballo, a Policía Nacional é a axencia que máis casos de ataques documentados achegou, cun total de 18 desde o inicio da investigación. Ademais, o grupo de Ciberataques contou co asesoramento do INCIBE-CERT e de empresas privadas de ciberinteligencia como KELA en labores de análise técnica forense así como de técnicas avanzadas de análises de fontes abertas e redes sociais.

Grazas ao labor de intelixencia efectuada entre todos os países cooperantes (13 en total), a FBI de Tampa (Florida) e a Policía de Alemaña determinaron a localización do servidor principal utilizado polos atacantes, establecéndose un operativo para desmantelar a dita infraestrutura, inhabilitando por completo a actividade delituosa do grupo criminal HIVE.

Atacaron a máis de 1.300 empresas en todo o mundo, así como a sectores de infraestrutura crítica

A modalidade de ciberdelincuencia de ransomware evolucionou moi rapidamente nos últimos anos, conseguindo altos niveis de sofistificación a nivel técnico, e producíndose varios niveis de extorsión para a vítima. O primeiro prodúcese cando o atacante cifra os sistemas dunha empresa e solicita o rescate económico para descifrar a dita información. Para iso, ameazan ás vítimas cunha dobre extorsión na que advirte de que se non realiza o pago solicitado, dita información será publicada en Internet e posta á venda en diferentes foros ou mercados ilegais. Ademais, chégase a producir unha tripla extorsión cando o atacante conseguiu información sensible de terceiros afectados e contacta cos mesmos de forma directa para extorsionarles mediante a ameaza de facer públicos os seus datos persoais se non pagan un rescate para impedilo.

No último ano, o ransomware HIVE supuxo unha grave ciberamenaza empregada para comprometer e cifrar os datos e os sistemas informáticos de grandes multinacionais tanto na Unión Europea como na EE. UU. Concretamente, desde xuño de 2021, máis de 1.500 empresas de máis de 80 países de todo o mundo foron vítimas deste ransomware e perderon preto de 100 millóns de euros en pagos de rescate.

Desde xuño do 2021 ata novembro de 2022, os investigados utilizaron o ransomware HIVE para apuntar a unha ampla gama de empresas e sectores de infraestrutura crítica, incluídas instalacións gobernamentais, empresas de telecomunicacións, fabricación, tecnoloxía da información e atención médica e saúde pública. Nun dos seus maiores ataques, os afiliados de HIVE atacaron un hospital, perturbando gravemente o funcionamento do mesmo durante a pandemia de Covid-19.

Os afiliados atacaban ás empresas de diferentes maneiras. Algúns actores de HIVE obtiveron acceso ás redes das vítimas mediante o uso de credenciais comprometidas de acceso a servizos de escritorio remoto cun só factor de autenticación, redes privadas virtuais e outros protocolos de conexión de rede remota. Noutros casos, eludiron a autenticación multifactor e obtiveron acceso mediante a explotación de vulnerabilidades. Por último, tamén obtiveron acceso inicial ás redes das vítimas distribuíndo correos electrónicos de phishing con arquivos adxuntos maliciosos.

A operación evitou o pago de 120 millóns de euros en rescates

Europol impulsou os esforzos de mitigación con outros países da UE para impedir o despregamento de efectos perniciosos nas vítimas, co que se evitou que as empresas privadas fosen vítimas do ransomware HIVE. As autoridades policiais proporcionaron a clave de descifrado ás empresas comprometidas para axudalas a descifrar os seus datos sen recorrer ao pago do rescate. Este esforzo impediu o pago de máis de 130 millóns de dólares, o que equivale a uns 120 millóns de euros en pagos por rescate.

Europol, ademais de facilitar o intercambio de información, apoiou a coordinación da operación e financiou reunións operativas en Portugal e os Países Baixos. No marco da operación, Europol brindou apoio para a análise de información técnica sobre casos xudicializados dentro e fóra da UE, así como para o estudo de operacións con criptomonedas, malware, descifrado e análise forense.

Por outra banda, tamén colaborou o Grupo de Traballo Conxunto de Acción contra o ciberdelito (J-CAT) de Europol. Este equipo operativo, con carácter permanente, está formado por oficiais de ligazón de delitos cibernéticos de diferentes países que traballan en investigacións de delitos altamente tecnificados ou de High “Tech Crime”.