L’FBI si è infiltrata nella rete Hive, sventando richieste di riscatto per oltre 130 milioni di dollari. Il Dipartimento di Giustizia ha annunciato che la sua campagna, durata mesi, contro il gruppo di ransomware Hive, ha preso di mira più di 1.500 vittime in oltre 80 Paesi del mondo, tra cui ospedali, scuole, aziende nel settore finanziario e infrastrutture critiche. Si legge nel comunicato del DOJ statunitense:
“Dalla fine di luglio 2022, l’FBI è penetrato nelle reti di computer di Hive, ha catturato le sue chiavi di decrittazione e le ha offerte alle vittime in tutto il mondo, impedendo alle vittime di dover pagare $ 130 milioni di riscatto richiesto. Da quando si è infiltrato nella rete di Hive nel luglio 2022, l’FBI ha fornito oltre 300 chiavi di decrittazione alle vittime di Hive che erano sotto attacco. Inoltre, l’FBI ha distribuito oltre 1.000 chiavi di decrittazione aggiuntive alle precedenti vittime di Hive. Infine, il dipartimento ha annunciato oggi che, in coordinamento con le forze dell’ordine tedesche (la polizia criminale federale tedesca e il quartier generale della polizia di Reutlingen-CID Esslingen) e l’unità criminale ad alta tecnologia dei Paesi Bassi, ha preso il controllo dei server e dei siti web che Hive utilizza per comunicare con i suoi membri, interrompendo la capacità di Hive di attaccare ed estorcere vittime”.
(…)
Da giugno 2021, il gruppo di ransomware Hive ha preso di mira più di 1.500 vittime in tutto il mondo e ha ricevuto oltre 100 milioni di dollari in pagamenti di riscatto.
Gli attacchi ransomware Hive hanno causato gravi interruzioni nelle operazioni quotidiane delle vittime in tutto il mondo e hanno influenzato le risposte alla pandemia di COVID-19. In un caso, un ospedale attaccato dal ransomware Hive ha dovuto ricorrere a metodi analoghi per trattare i pazienti esistenti e non è stato in grado di accettare nuovi pazienti subito dopo l’attacco.
Hive ha utilizzato un modello ransomware-as-a-service (RaaS) con amministratori, a volte chiamati sviluppatori, e affiliati. RaaS è un modello basato su abbonamento in cui gli sviluppatori o gli amministratori sviluppano un ransomware e creano un’interfaccia di facile utilizzo con cui gestirlo e quindi reclutano affiliati per distribuire il ransomware contro le vittime. Gli affiliati hanno identificato gli obiettivi e distribuito questo software dannoso già pronto per attaccare le vittime e quindi hanno guadagnato una percentuale di ogni pagamento di riscatto andato a buon fine.
Gli attori di Hive hanno utilizzato un modello di attacco a doppia estorsione. Prima di crittografare il sistema della vittima, l’affiliato esfiltrava o rubava dati sensibili. L’affiliato ha quindi chiesto un riscatto sia per la chiave di decrittazione necessaria per decrittografare il sistema della vittima sia per la promessa di non pubblicare i dati rubati. Gli attori di Hive hanno spesso preso di mira i dati più sensibili nel sistema di una vittima per aumentare la pressione a pagare. Dopo che una vittima ha pagato, gli affiliati e gli amministratori dividono il riscatto 80/20. Hive ha pubblicato i dati delle vittime che non pagano sul sito Hive Leak.
Il commento sull’operazione contro Hive di FBI
“Anche se l’interruzione del servizio Hive non causerà un forte calo negli attacchi ransomware a livello globale, è comunque un duro colpo per questo gruppo pericoloso che ha messo in pericolo vite umane attaccando anche il sistema sanitario”, dichiara John Hultquist, Head of Mandiant Threat Intelligence, Google Cloud. “Purtroppo, per via di come funziona il mercato criminale che è al centro del problema ransomware globale, ci aspettiamo che un qualche concorrente di Hive cominci ad offrire un servizio simile con magari nuove limitazioni come quelle di non colpire, ad esempio, gli ospedali. Azioni come questa aggiungono attrito alle operazioni ransomware nel loro complesso. I componenti del gruppo Hive potrebbero dover riorganizzarsi, riattrezzarsi e persino cambiare nome al proprio gruppo. Arrestare i colpevoli di questi attacchi non sempre è possibile, dovremo al contempo concentrarci necessariamente su soluzioni tattiche e su una migliore difesa cyber. Finché non riusciremo ad affrontare il fatto che la Russia è un “porto sicuro” per il cyber crime, dovremo concentrarci sull’essere resilienti”.
“Nel 2022, Hive è stata la famiglia di ransomware più prolifica che abbiamo osservato direttamente nelle attività di incident response, rappresentando oltre il 15% del totale delle intrusioni ransomware a cui abbiamo risposto. Le loro vittime sono localizzate in differenti Paesi, ma l’impatto più significativo è stato negli Stati Uniti: il 50% di tutte le vittime che erano basate qui. Gli aggressori dietro l’operazione hanno continuato a sviluppare Hive con costanza e ad un certo punto hanno anche riscritto il codice in Rust a metà del 2022. Questo passo è stato probabilmente compiuto per cercare nuovi modi di ostacolare l’analisi del malware ed eludere i sistemi di rilevamento”, ha dichiarato Kimberly Goody, Senior Manager, Mandiant Intelligence – Google Cloud. “Abbiamo visto diversi aggressori utilizzare il ransomware Hive sin da quando è comparso, ma il gruppo più prolifico nell’ultimo anno, in base alla nostra visibilità, è stato UNC2727. Le loro operazioni sono degne di nota perché hanno avuto un forte impatto sul settore sanitario. Inoltre, Hive non è stato l’unico ransomware presente nel loro arsenale; in passato li abbiamo visti utilizzare CONTI e MOUNTLOCKER. Questo dimostra che alcuni aggressori possiedono già relazioni all’interno dell’ampio ecosistema della criminalità che potrebbero consentire loro di passare facilmente all’utilizzo di un’altra famiglia di ransomware per le loro operazioni”.
