Europol ayudó a las autoridades alemanas, holandesas y estadounidenses a desmantelar la infraestructura del prolífico ransomware HIVE. Esta operación internacional involucró a autoridades de 13* países en total. Las fuerzas del orden identificaron las claves de descifrado y las compartieron con muchas de las víctimas, ayudándolas a recuperar el acceso a sus datos sin pagar a los ciberdelincuentes.
En el último año, el ransomware HIVE se identificó como una amenaza importante, ya que se utilizó para comprometer y cifrar los datos y los sistemas informáticos de las grandes multinacionales petroleras y de TI en la UE y los EE. UU. Desde junio de 2021, más de 1 500 empresas de más de 80 países de todo el mundo han sido víctimas de los asociados de HIVE y han perdido casi 100 millones EUR en pagos de rescate.
Los afiliados ejecutaron los ataques cibernéticos, pero los desarrolladores crearon, mantuvieron y actualizaron el ransomware HIVE. Los afiliados utilizaron el modelo de doble extorsión de ‘ransomware-as-a-service’; primero, copiaron datos y luego cifraron los archivos. Luego, pidieron un rescate tanto para descifrar los archivos como para no publicar los datos robados en el sitio de fugas de Hive. Cuando las víctimas pagaban, el rescate se dividía entre los afiliados (que recibían el 80 %) y los desarrolladores (que recibían el 20 %).
Otros grupos peligrosos de ransomware también han utilizado este modelo llamado ransomware-as-a-service (RaaS) para perpetrar ataques de alto nivel en los últimos años. Esto ha incluido pedir millones de euros en rescates para descifrar los sistemas afectados, a menudo en empresas que mantienen infraestructuras críticas. Desde junio de 2021, los delincuentes han utilizado el ransomware HIVE para atacar una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica y salud pública.
En un gran ataque, los afiliados de HIVE atacaron un hospital, lo que tuvo graves repercusiones sobre cómo el hospital podría lidiar con la pandemia de COVID-19. Debido al ataque, este hospital tuvo que recurrir a métodos análogos para tratar a los pacientes existentes y no pudo aceptar nuevos.
Los afiliados atacaron a las empresas de diferentes maneras. Algunos actores de HIVE obtuvieron acceso a las redes de las víctimas mediante el uso de inicios de sesión de un solo factor a través del Protocolo de escritorio remoto, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, los actores de HIVE eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Esto permitió a los ciberdelincuentes malintencionados iniciar sesión sin solicitar el segundo factor de autenticación del usuario cambiando las mayúsculas y minúsculas del nombre de usuario.
Algunos actores de HIVE también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos y explotando las vulnerabilidades de los sistemas operativos de los dispositivos atacados.
Cerca de 120 millones de euros ahorrados gracias a los esfuerzos de mitigación
Europol simplificó los esfuerzos de mitigación de víctimas con otros países de la UE, lo que evitó que las empresas privadas fueran víctimas del ransomware HIVE. Las fuerzas del orden proporcionaron la clave de descifrado a las empresas que se habían visto comprometidas para ayudarlas a descifrar sus datos sin pagar el rescate. Este esfuerzo ha impedido el pago de más de USD 130 millones o el equivalente a unos EUR 120 millones en pagos de rescate.
Europol facilitó el intercambio de información, apoyó la coordinación de la operación y financió reuniones operativas en Portugal y los Países Bajos. Europol también brindó apoyo analítico vinculando los datos disponibles con varios casos penales dentro y fuera de la UE, y apoyó la investigación a través de criptomonedas, malware, descifrado y análisis forense.
En los días de acción, Europol desplegó cuatro expertos para ayudar a coordinar las actividades sobre el terreno. Europol apoyó a las autoridades encargadas de hacer cumplir la ley involucradas coordinando el análisis de criptomonedas y malware, cotejando la información operativa con las bases de datos de Europol y realizando más análisis operativos y apoyo forense. Se espera que el análisis de estos datos y otros casos relacionados desencadene más actividades de investigación. El Grupo de trabajo conjunto de acción contra el ciberdelito (J-CAT) de Europol también apoyó la operación. Este equipo operativo permanente está formado por oficiales de enlace de delitos cibernéticos de diferentes países que trabajan en investigaciones de delitos cibernéticos de alto perfil.
*Autoridades encargadas de hacer cumplir la ley involucradas
Canadá – Real Policía Montada de Canadá (RCMP) y Policía Regional de Peel
Francia: Policía Nacional (Police Nationale)
Alemania: Oficina Federal de Policía Criminal (Bundeskriminalamt) y Jefatura de Policía Reutlingen – CID Esslingen (Polizei BW)
Irlanda: Policía Nacional (An Garda Síochána)
Lituania: Oficina de Policía Criminal (Kriminalinės Policijos Biuras)
Países Bajos – Policía Nacional (Politie)
Noruega: Policía Nacional (Politiet)
Portugal: Policía Judicial (Polícia Judiciária)
Rumania: Policía Rumana (Poliția Română – DCCO)
España: Policía Española (Policía Nacional)
Suecia: Policía Sueca (Polisen)
Reino Unido – Agencia Nacional contra el Crimen
EE. UU. – Servicio Secreto de los Estados Unidos, Oficina Federal de Investigaciones