No marco dunha operación internacional coordinada por EUROPOL que contou coa participación da Policía Nacional

Desmantelada unha infraestrutura do grupo criminal HIVE dirixida a realizar ataques de ransomware por todo o mundo

Os autores do ransomware Hive atacaron a máis de 1.300 empresas en todo o mundo, así como sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública

Este tipo de ciberataque segue un modelo -“ransomware como servizo (RaaS)”- no que os desenvolvedores crean, e actualizan o malware, e os afiliados levan a cabo os ataques de ransomware

A operación, na que participaron axentes da Policía Nacional xunto á oficina da FBI en Tampa (Florida) e a Policía de Alemaña, entre outros países, permitiu recuperar as claves de descifrado e compartilas con moitas das vítimas para que puidesen acceder aos seus datos sen pagar o rescate

27/01/23

Axentes da Policía Nacional, no marco dunha investigación internacional coordinada por EUROPOL, e en colaboración coa FBI e a Policía de Alemaña, participaron nunha operación que permitiu desmantelar a infraestrutura utilizada polo grupo criminal Hive, autor de miles de ataques de tipo Ransomware por todo o mundo. A operación impediu o uso do ransomware Hive, do que se serviron para atacar a máis de 1.300 empresas en todo o mundo, así como a sectores de infraestrutura crítica como instalacións gobernamentais, de tecnoloxías da información e de saúde pública.

A operación en España comezou en outubro do ano 2021 coa recepción dunha denuncia interposta por unha empresa do noso país, vítima dun ataque sufrido por un ransomware da familia HIVE, procedente do grupo criminal do mesmo nome.

Coa investigación xa en marcha, producíronse ataques a novas vítimas en España, motivo polo que especialistas na loita contra a ciberdelincuencia da Policía Nacional levaron a cabo un profundo labor de investigación, análise de datos, recompilación de información, mostras de malware e de ferramentas utilizadas durante os ataques. Isto permitiu aos nosos axentes o acceso a un grupo de traballo, coordinado por EUROPOL, no que participaban un gran número de países, tamén afectados por ataques desta familia de ransomware co obxectivo de desarticular a armazón criminal.

Dentro do grupo de traballo, a Policía Nacional é a axencia que máis casos de ataques documentados achegou, cun total de 18 desde o inicio da investigación. Ademais, o grupo de Ciberataques contou co asesoramento do INCIBE-CERT e de empresas privadas de ciberinteligencia como KELA en labores de análise técnica forense así como de técnicas avanzadas de análises de fontes abertas e redes sociais.

Grazas ao labor de intelixencia efectuada entre todos os países cooperantes (13 en total), a FBI de Tampa (Florida) e a Policía de Alemaña determinaron a localización do servidor principal utilizado polos atacantes, establecéndose un operativo para desmantelar a dita infraestrutura, inhabilitando por completo a actividade delituosa do grupo criminal HIVE.

Atacaron a máis de 1.300 empresas en todo o mundo, así como a sectores de infraestrutura crítica

A modalidade de ciberdelincuencia de ransomware evolucionou moi rapidamente nos últimos anos, conseguindo altos niveis de sofistificación a nivel técnico, e producíndose varios niveis de extorsión para a vítima. O primeiro prodúcese cando o atacante cifra os sistemas dunha empresa e solicita o rescate económico para descifrar a dita información. Para iso, ameazan ás vítimas cunha dobre extorsión na que advirte de que se non realiza o pago solicitado, dita información será publicada en Internet e posta á venda en diferentes foros ou mercados ilegais. Ademais, chégase a producir unha tripla extorsión cando o atacante conseguiu información sensible de terceiros afectados e contacta cos mesmos de forma directa para extorsionarles mediante a ameaza de facer públicos os seus datos persoais se non pagan un rescate para impedilo.

No último ano, o ransomware HIVE supuxo unha grave ciberamenaza empregada para comprometer e cifrar os datos e os sistemas informáticos de grandes multinacionais tanto na Unión Europea como na EE. UU. Concretamente, desde xuño de 2021, máis de 1.500 empresas de máis de 80 países de todo o mundo foron vítimas deste ransomware e perderon preto de 100 millóns de euros en pagos de rescate.

Desde xuño do 2021 ata novembro de 2022, os investigados utilizaron o ransomware HIVE para apuntar a unha ampla gama de empresas e sectores de infraestrutura crítica, incluídas instalacións gobernamentais, empresas de telecomunicacións, fabricación, tecnoloxía da información e atención médica e saúde pública. Nun dos seus maiores ataques, os afiliados de HIVE atacaron un hospital, perturbando gravemente o funcionamento do mesmo durante a pandemia de Covid-19.

Os afiliados atacaban ás empresas de diferentes maneiras. Algúns actores de HIVE obtiveron acceso ás redes das vítimas mediante o uso de credenciais comprometidas de acceso a servizos de escritorio remoto cun só factor de autenticación, redes privadas virtuais e outros protocolos de conexión de rede remota. Noutros casos, eludiron a autenticación multifactor e obtiveron acceso mediante a explotación de vulnerabilidades. Por último, tamén obtiveron acceso inicial ás redes das vítimas distribuíndo correos electrónicos de phishing con arquivos adxuntos maliciosos.

A operación evitou o pago de 120 millóns de euros en rescates

Europol impulsou os esforzos de mitigación con outros países da UE para impedir o despregamento de efectos perniciosos nas vítimas, co que se evitou que as empresas privadas fosen vítimas do ransomware HIVE. As autoridades policiais proporcionaron a clave de descifrado ás empresas comprometidas para axudalas a descifrar os seus datos sen recorrer ao pago do rescate. Este esforzo impediu o pago de máis de 130 millóns de dólares, o que equivale a uns 120 millóns de euros en pagos por rescate.

Europol, ademais de facilitar o intercambio de información, apoiou a coordinación da operación e financiou reunións operativas en Portugal e os Países Baixos. No marco da operación, Europol brindou apoio para a análise de información técnica sobre casos xudicializados dentro e fóra da UE, así como para o estudo de operacións con criptomonedas, malware, descifrado e análise forense.

Por outra banda, tamén colaborou o Grupo de Traballo Conxunto de Acción contra o ciberdelito (J-CAT) de Europol. Este equipo operativo, con carácter permanente, está formado por oficiais de ligazón de delitos cibernéticos de diferentes países que traballan en investigacións de delitos altamente tecnificados ou de High “Tech Crime”.