El Departamento de Justicia anunció esta semana que los agentes del FBI interrumpido con éxito Hive, un notorio grupo de ransomware, y evitó campañas de rescate por valor de $ 130 millones que los objetivos ya no necesitan considerar pagar. Si bien afirma que el grupo Hive ha sido responsable de atacar a más de 1500 víctimas en más de 80 países en todo el mundo, el departamento ahora revela que se había infiltrado en la red del grupo durante meses antes de trabajar con funcionarios alemanes y holandeses para cerrar los servidores y sitios web de Hive esta semana.
“En pocas palabras, utilizando medios legales, hackeamos a los piratas informáticos”, dijo la Fiscal General Adjunta Lisa Monaco comentó durante una conferencia de prensa.
El FBI afirma que al piratear de forma encubierta los servidores de Hive, pudo arrebatar silenciosamente más de 300 claves de descifrado y devolverlas a las víctimas cuyos datos fueron bloqueados por el grupo. El fiscal general de EE. UU., Merrick Garland, dijo en su declaración que en los últimos meses, el FBI usó esas claves de descifrado para desbloquear un distrito escolar de Texas que enfrentaba un rescate de $5 millones, un hospital de Luisiana al que se le habían pedido $3 millones y un servicio de alimentos no identificado. empresa que enfrentó un rescate de 10 millones de dólares.
“Le dimos la vuelta a Hive y rompimos su modelo de negocio”, dijo Monaco. El FBI había considerado a Hive como una de las cinco principales amenazas de ransomware. Según el Departamento de Justicia, Hive ha recibido más de $100 millones en pagos de rescate de sus víctimas desde junio de 2021.
El modelo de «ransomware como servicio (RaaS)» de Hive consiste en fabricar y vender ransomware, luego reclutar «afiliados» para que salgan y lo implementen, y los administradores de Hive se quedan con un 20 por ciento de las ganancias y publican los datos robados en un Sitio «HiveLeaks» si alguien se niega a pagar. Los afiliados, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), utilizan métodos como el phishing de correo electrónico, explotan las vulnerabilidades de autenticación de FortiToken y obtienen acceso a las VPN y escritorios remotos de la empresa (usando RDP) que solo están protegidos con inicios de sesión de un solo factor.
Una alerta CISA de noviembre explica cómo los ataques se dirigen a empresas y organizaciones que ejecutan sus propios servidores de Microsoft Exchange. El código proporcionado a sus afiliados se aprovecha de exploits conocidos como CVE-2021-31207que, a pesar de estar parcheado desde 2021, a menudo sigue siendo vulnerable si no se han aplicado las mitigaciones adecuadas.
Una vez que ingresan, su patrón es usar los propios protocolos de administración de red de la organización para cerrar cualquier software de seguridad, eliminar registros, cifrar los datos y, por supuesto, dejar una nota de rescate HOW_TO_DECRYPT.txt en directorios cifrados que conecta a las víctimas. a un panel de chat en vivo para negociar las demandas de rescate.
“Cuando una víctima da un paso al frente, puede marcar la diferencia”
Hive es el mayor grupo de ransomware que han eliminado los federales desde REvil en 2021 – que fue responsable de filtrar los esquemas de MacBook de un proveedor de Apple, así como el mayor proveedor de carne del mundo. Y a principios de ese año, grupos como DarkSide se fueron con éxito con un pago de $ 4.4 millones después penetrando los sistemas de Colonial Pipeline en un incidente que disparó los precios de la gasolina a nivel nacional. Sin embargo, el ataque de ransomware más costoso que se ha publicado es el de la compañía de seguros CNA Financial, que terminó pagando a los piratas informáticos 40 millones de dólares.
El FBI, durante su vigilancia de Hive, encontró más de 1,000 claves de cifrado vinculadas a víctimas anteriores del grupo, y el director del FBI, Christopher Wray, señaló que solo el 20 por ciento de las víctimas detectadas se acercaron al FBI en busca de ayuda. Muchas víctimas de ataques de ransomware se abstienen de ponerse en contacto con el FBI por temor a las repercusiones de los piratas informáticos y al escrutinio en sus industrias por no protegerse.
Sin embargo, dado que los piratas informáticos obtienen sus días de pago, le está dando a la industria del ransomware combustible para seguir adelante. El FBI espera poder convencer a más víctimas para que se presenten y trabajen con ellas en lugar de ceder a las demandas. “Cuando una víctima da un paso adelante, puede marcar la diferencia en la recuperación de fondos robados o la obtención de claves de descifrado”, dijo Monaco.