Departamento de Justicia de EE. UU. interrumpe variante de ransomware Hive

El Departamento de Justicia anunció hoy su campaña de interrupción de meses contra el grupo de ransomware Hive que se ha centrado en más de 1500 víctimas en más de 80 países de todo el mundo, incluidos hospitales, distritos escolares, empresas financieras e infraestructura crítica.

Desde finales de julio de 2022, el FBI penetró en las redes informáticas de Hive, capturó sus claves de descifrado y las ofreció a las víctimas en todo el mundo, evitando que las víctimas tuvieran que pagar los 130 millones de dólares exigidos por el rescate. Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban siendo atacadas. Además, el FBI distribuyó más de 1000 claves de descifrado adicionales a víctimas anteriores de Hive. Finalmente, el departamento anunció hoy que, en coordinación con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y la Jefatura de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos, ha tomado el control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas.

“Anoche, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar e intentar extorsionar a cientos de millones de dólares de víctimas en los Estados Unidos y en todo el mundo”, dijo el Fiscal General Merrick B. Garland. “El cibercrimen es una amenaza en constante evolución. Pero como he dicho antes, el Departamento de Justicia no escatimará recursos para identificar y llevar ante la justicia a cualquier persona, en cualquier lugar, que se dirija a los Estados Unidos con un ataque de ransomware. Continuaremos trabajando tanto para prevenir estos ataques como para brindar apoyo a las víctimas que han sido atacados. Y junto con nuestros socios internacionales, continuaremos interrumpiendo las redes criminales que despliegan estos ataques”.

“La interrupción del grupo de ransomware Hive por parte del Departamento de Justicia debería hablarles tan claramente a las víctimas del delito cibernético como a los perpetradores”, dijo la fiscal general adjunta Lisa O. Monaco. “En una vigilancia cibernética del siglo XXI, nuestro equipo de investigación le dio la vuelta a Hive, pasó sus claves de descifrado, se las pasó a las víctimas y, en última instancia, evitó más de $ 130 millones de dólares en pagos de ransomware. Continuaremos contraatacando el ciberdelito utilizando todos los medios posibles y colocaremos a las víctimas en el centro de nuestros esfuerzos para mitigar la ciberamenaza”.

“La interrupción coordinada de las redes informáticas de Hive, luego de meses de descifrar víctimas en todo el mundo, muestra lo que podemos lograr al combinar una búsqueda incesante de información técnica útil para compartir con las víctimas con investigaciones destinadas a desarrollar operaciones que afecten duramente a nuestros adversarios”, dijo. El director del FBI, Christopher Wray. “El FBI continuará aprovechando nuestras herramientas de inteligencia y aplicación de la ley, presencia global y asociaciones para contrarrestar a los ciberdelincuentes que se dirigen a empresas y organizaciones estadounidenses”.

“Nuestros esfuerzos en este caso ahorraron a las víctimas más de cien millones de dólares en pagos de rescate y probablemente más en costos de remediación”, dijo el Secretario de Justicia Auxiliar Kenneth A. Polite, Jr. de la División Criminal del Departamento de Justicia. “Esta acción demuestra el compromiso del Departamento de Justicia de proteger a nuestras comunidades de los piratas informáticos malintencionados y de garantizar que las víctimas de delitos se recuperen. Además, continuaremos nuestra investigación y perseguiremos a los actores detrás de Hive hasta que sean llevados ante la justicia”.

“Los ciberdelincuentes utilizan tecnologías sofisticadas para aprovecharse de víctimas inocentes en todo el mundo”, dijo el fiscal federal Roger Handberg para el Distrito Medio de Florida. “Gracias al trabajo de investigación excepcional y la coordinación de nuestros socios encargados de hacer cumplir la ley nacionales e internacionales, se han frustrado más extorsiones por parte de HIVE, las operaciones comerciales críticas pueden reanudarse sin interrupción y se evitaron millones de dólares en pagos de rescate”. 

Desde junio de 2021, el grupo de ransomware Hive se ha centrado en más de 1500 víctimas en todo el mundo y ha recibido más de 100 millones de dólares en pagos de rescate.  

Los ataques de Hive ransomware han causado importantes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19. En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque.   

Hive usó un modelo de ransomware como servicio (RaaS) con administradores, a veces llamados desarrolladores, y afiliados. RaaS es un modelo basado en suscripción en el que los desarrolladores o administradores desarrollan una variedad de ransomware y crean una interfaz fácil de usar con la que operarlo y luego reclutan afiliados para implementar el ransomware contra las víctimas. Los afiliados identificaron objetivos e implementaron este software malicioso preparado para atacar a las víctimas y luego ganaron un porcentaje de cada pago de rescate exitoso.

Los actores de Hive emplearon un modelo de ataque de doble extorsión. Antes de cifrar el sistema de la víctima, el afiliado filtraría o robaría datos confidenciales. Luego, el afiliado buscó un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados. Los actores de Hive con frecuencia se enfocaban en los datos más confidenciales en el sistema de una víctima para aumentar la presión para pagar. Después de que una víctima paga, los afiliados y administradores dividen el rescate 80/20. Hive publicó los datos de las víctimas que no pagan en el sitio de fugas de Hive.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), los afiliados de Hive obtuvieron acceso inicial a las redes de las víctimas a través de varios métodos, que incluyen: inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota; explotar las vulnerabilidades de FortiToken; y enviar correos electrónicos de phishing con archivos adjuntos maliciosos. Para obtener más información sobre el malware, incluida información técnica para organizaciones sobre cómo mitigar sus efectos, está disponible en CISA, visite https://www.cisa.gov/uscert/ncas/alerts/aa22-321a .

Las víctimas del ransomware Hive deben comunicarse con la oficina local del FBI para obtener más información. 

La Oficina de Campo del FBI en Tampa, la Agencia Residente de Orlando está investigando el caso.

Están a cargo de la acusación en el caso los abogados litigantes Christen Gallagher y Alison Zitron de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal y el fiscal federal adjunto Chauncey Bratt para el Distrito Medio de Florida.

El Departamento de Justicia también reconoce la cooperación crítica del Cuartel General de la Policía de Reutlingen de Alemania-CID Esslingen, la Policía Criminal Federal de Alemania, Europol y la Policía de los Países Bajos, y el Servicio Secreto de los EE. UU., la Oficina del Fiscal de los EE. UU. para el Distrito Este de Virginia y la Oficina del Fiscal Federal para el Distrito Central de California. La Oficina de Asuntos Internacionales del Departamento de Justicia y el Enlace Internacional de Operaciones Cibernéticas también brindaron una asistencia significativa. Además, las siguientes autoridades extranjeras encargadas de hacer cumplir la ley brindaron asistencia y apoyo sustanciales: la Policía Regional de Peel de Canadá y la Real Policía Montada de Canadá, la Dirección Francesa Centrale de la Police Judiciaire, la Oficina de Policía Criminal de Lituania,