Hive, smantellata l’infrastruttura della banda ransomware grazie ad un’operazione internazionale
Un’operazione congiunta delle forze di polizia internazionali ha sequestrato e messo offline le risorse della banda ransomware Hive, dopo che l’FBI è riuscita a condurre con successo un’operazione sotto copertura lo scorso mese di luglio.
I siti Web Tor della banda di ransomware ora mostrano un avviso di sequestro firmato da molteplici forze dell’ordine, tra cui quelle di Canada, Francia, Germania, Lituania, Norvegia, Paesi Bassi, Portogallo, Romania, Regno Unito, Spagna e Svezia.
Il Dipartimento di Giustizia degli USA e l’Europol hanno annunciato oggi gli esiti dell’operazione. “Dalla fine di luglio 2022 l’FBI è penetrato nella rete di Hive, ha sottratto le chiavi per decifrare gli archivi e le ha condivise con le vittime in tutto il mondo, evitando così il pagamento di un complessivo di 130 milioni di dollari in riscatti” ha dichiarato il Dipartimento di Giustizia.
L’FBI è riuscito nel corso di questa operazione a recuperare oltre 300 chiavi da fornire alle vittime di Hive e altre 1000 chiavi a vittime colpite in precedenza dall’attività della banda ransomware. Le forze di polizia sono inoltre riuscite ad ottenere l’accesso a due server dedicati e ad un server privato virtuale presso un provider californiano, i quali sono stati affittati usando e-mail appartenenti ai membri della banda Hive. Parallelamente la polizia olandese ha ottenuto l’accesso a ue server di backup situati nei Paesi Bassi.
Questa si è dimostrata essere la struttura informatica principale dell’operazione Hive, esaminando la quale è stato possibile trovare registri di comunicazione, valori hash dei malware, informazioni suoi 250 affiliati alla banda e informazioni sulle vittime.
Il collettivo Hive ha dato vita ad un’attività di “Ransomware-as-a-Service” a partire da giungo 2021. La compromissione delle reti delle vittime avviene tramite campagne di phishing oppure sfruttando vulnerabilità note nei dispositivi esposti ad Internet, o ancora tramite credenziali valide acquistate a seguito di furti di database terzi.
Stabilito il primo punto d’accesso ad una rete, gli aggressori si diffondono poi “orizzontalmente” ad altri dispositivi, sottraendo informazioni e crittografandole successivamente così da poter mettere in atto un meccanismo a “doppia estorsione”: il riscatto viene richiesto non solo per sbloccare i file criptati, ma anche dietro la minaccia di diffondere le informazioni sottratte. Hive ha anche mostrato una certa spregiudicatezza nello scegliere le proprie vittime, non facendosi alcun problema a prendere di mira realtà sanitarie e servizi di emergenza.
Tra le vittime più note di Hive ci sono il Memorial Health System, MediaMarkt, Bell Technical Solutions, Tata Power e la New York Racing Association. Nel corso della sua attività, da giugno 2021, Hive ha messo a segno numerosi colpi per un bottino che, stando alle analisi FBI risalenti a novembre 2022, si attesta a oltre 100 milioni di dollari estorti a più di 1500 realtà.
FBI disrupts the Dark Web site of the Hive ransomware group.
If you have information that links Hive or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government, send us your tip via our Tor tip line. You could be eligible for a reward. https://t.co/7Bqz0DUSCf pic.twitter.com/n8U3TNC7lh
— Rewards for Justice (@RFJ_USA) January 26, 2023
Dopo aver sequestrato le risorse informatiche di Hive, il Dipartimento di Stato degli USA ha offerto una ricompensa fino a 10 milioni di dollari per chiunque possa avere informazioni da condividere e in grado di collegare il gruppo ransomware a governi esteri.
Non è la prima volta che il Dipartimento di Stato offre ricompense a tal scopo: negli ultimi due anni sono stati offerti fino a 15 milioni di dollari per informazioni utili ad individuare i membri delle operazioni ransomware Conti, REvil e Darkside.
Fonte: http://feeds.hwupgrade.it/