Este tipo de ciberataque sigue un modelo -“ransomware como servicio (RaaS)”- en el que los desarrolladores crean, y actualizan el malware, y los afiliados llevan a cabo los ataques de ransomware.
La operación, en la que han participado agentes de la Policía Nacional junto a la oficina del FBI en Tampa (Florida) y la Policía de Alemania, entre otros países, ha permitido recuperar las claves de descifrado y compartirlas con muchas de las víctimas para que pudieran acceder a sus datos sin pagar el rescate.
Agentes de la Policía Nacional, en el marco de una investigación internacional coordinada por EUROPOL, y en colaboración con el FBI y la Policía de Alemania, han participado en una operación que ha permitido desmantelar la infraestructura utilizada por el grupo criminal Hive, autor de miles de ataques de tipo Ransomware por todo el mundo.
La operación ha impedido el uso del ransomware Hive, del que se habrían servido para atacar a más de 1.300 empresas en todo el mundo, así como a sectores de infraestructura crítica como instalaciones gubernamentales, de tecnologías de la información y de salud pública.
La operación en España comenzó en octubre del año 2021 con la recepción de una denuncia interpuesta por una empresa de nuestro país, víctima de un ataque sufrido por un ransomware de la familia HIVE, procedente del grupo criminal del mismo nombre.
Con la investigación ya en marcha, se produjeron ataques a nuevas víctimas en España, motivo por el que especialistas en la lucha contra la ciberdelincuencia de la Policía Nacional llevaron a cabo una profunda labor de investigación, análisis de datos, recopilación de información, muestras de malware y de herramientas utilizadas durante los ataques. Esto permitió a nuestros agentes el acceso a un grupo de trabajo, coordinado por EUROPOL, en el que participaban un gran número de países, también afectados por ataques de esta familia de ransomware con el objetivo de desarticular el entramado criminal.
Dentro del grupo de trabajo, la Policía Nacional es la agencia que más casos de ataques documentados ha aportado, con un total de 18 desde el inicio de la investigación. Además, el grupo de Ciberataques ha contado con el asesoramiento del INCIBE-CERT y de empresas privadas de ciberinteligencia como KELA en labores de análisis técnico forense así como de técnicas avanzadas de análisis de fuentes abiertas y redes sociales.
Gracias a la labor de inteligencia efectuada entre todos los países cooperantes (13 en total), el FBI de Tampa (Florida) y la Policía de Alemania determinaron la ubicación del servidor principal utilizado por los atacantes, estableciéndose un operativo para desmantelar dicha infraestructura, inhabilitando por completo la actividad delictiva del grupo criminal HIVE.
Han atacado a más de 1.300 empresas en todo el mundo, así como a sectores de infraestructura crítica
La modalidad de ciberdelincuencia de ransomware ha evolucionado muy rápidamente en los últimos años, consiguiendo altos niveles de sofistificación a nivel técnico, y produciéndose varios niveles de extorsión para la víctima. El primero se produce cuando el atacante cifra los sistemas de una empresa y solicita el rescate económico para descifrar dicha información. Para ello, amenazan a las víctimas con una doble extorsión en la que advierte de que si no realiza el pago solicitado, dicha información será publicada en Internet y puesta a la venta en diferentes foros o mercados ilegales. Además, se llega a producir una triple extorsión cuando el atacante ha conseguido información sensible de terceros afectados y contacta con los mismos de forma directa para extorsionarles mediante la amenaza de hacer públicos sus datos personales si no pagan un rescate para impedirlo.
En el último año, el ransomware HIVE ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EE. UU. Concretamente, desde junio de 2021, más de 1.500 empresas de más de 80 países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de 100 millones de euros en pagos de rescate.
Desde junio de 2021 hasta noviembre de 2022, los investigados utilizaron el ransomware HIVE para apuntar a una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica y salud pública. En uno de sus mayores ataques, los afiliados de HIVE atacaron un hospital, perturbando gravemente el funcionamiento del mismo durante la pandemia de COVID-19.
Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de HIVE obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos.
La operación ha evitado el pago de 120 millones de euros en rescates
Europol impulsó los esfuerzos de mitigación con otros países de la UE para impedir el despliegue de efectos perniciosos en las víctimas, con lo que se evitó que las empresas privadas fueran víctimas del ransomware HIVE. Las autoridades policiales proporcionaron la clave de descifrado a las empresas comprometidas para ayudarlas a descifrar sus datos sin recurrir al pago del rescate. Este esfuerzo ha impedido el pago de más de 130 millones de dólares, lo que equivale a unos 120 millones de euros en pagos por rescate.
Europol, además de facilitar el intercambio de información, ha apoyado la coordinación de la operación y ha financiado reuniones operativas en Portugal y los Países Bajos. En el marco de la operación, Europol ha brindado apoyo para el análisis de información técnica sobre casos judicializados dentro y fuera de la UE, así como para el estudio de operaciones con criptomonedas, malware, descifrado y análisis forense.
Por otra parte, también ha colaborado el Grupo de Trabajo Conjunto de Acción contra el ciberdelito (J-CAT) de Europol. Este equipo operativo, con carácter permanente, está formado por oficiales de enlace de delitos cibernéticos de diferentes países que trabajan en investigaciones de delitos altamente tecnificados o de “High Tech Crimen”.