Home Mundo Desmantelada una infraestructura del grupo HIVE que dirigia ataques de ransomware por...

Desmantelada una infraestructura del grupo HIVE que dirigia ataques de ransomware por todo el mundo

ransomware malware y piratería

    Agentes de la Policía Nacional, en el marco de una investigación internacional coordinada por EUROPOL, y en colaboración con el FBI y la Policía de Alemania, han participado en una operación que ha permitido desmantelar la infraestructura utilizada por el grupo criminal Hive, autor de miles de ataques de tipo ransomware por todo el mundo.

    La operación ha impedido el uso del ransomware Hive, del que se habrían servido para atacar a más de 1300 empresas en todo el mundo, así como a sectores de infraestructura crítica como instalaciones gubernamentales, de tecnologías de la información y de salud pública.

    La operación en España comenzó en octubre del año 2021 con la recepción de una denuncia interpuesta por una empresa de nuestro país, víctima de un ataque sufrido por un ransomware de la familia HIVE, procedente del grupo criminal del mismo nombre.

    Con la investigación ya en marcha, se produjeron ataques a nuevas víctimas en España, motivo por el que especialistas en la lucha contra la ciberdelincuencia de la Policía Nacional llevaron a cabo una profunda labor de investigación, análisis de datos, recopilación de información, muestras de malware y de herramientas utilizadas durante los ataques. Esto permitió a los agentes el acceso a un grupo de trabajo, coordinado por EUROPOL, en el que participaban un gran número de países, también afectados por ataques de esta familia de ransomware con el objetivo de desarticular el entramado criminal.

    Dentro del grupo de trabajo, la Policía Nacional es la agencia que más casos de ataques documentados ha aportado, con un total de dieciocho desde el inicio de la investigación. Además, el grupo de Ciberataques ha contado con el asesoramiento del INCIBE-CERT y de empresas privadas de ciberinteligencia como KELA en labores de análisis técnico forense así como de técnicas avanzadas de análisis de fuentes abiertas y redes sociales.

    Gracias a la labor de inteligencia efectuada entre todos los países cooperantes (trece en total), el FBI de Tampa (Florida) y la Policía de Alemania determinaron la ubicación del servidor principal utilizado por los atacantes, estableciéndose un operativo para desmantelar dicha infraestructura, inhabilitando por completo la actividad delictiva del grupo criminal HIVE.

    Ciberdelincuencia de ransomware

    La modalidad de ciberdelincuencia de ransomware ha evolucionado muy rápidamente en los últimos años, consiguiendo altos niveles de sofistificación a nivel técnico, y produciéndose varios niveles de extorsión para la víctima. El primero se produce cuando el atacante cifra los sistemas de una empresa y solicita el rescate económico para descifrar dicha información.

    Para ello, amenazan a las víctimas con una doble extorsión en la que advierte de que si no hace el pago solicitado, dicha información será publicada en Internet y puesta a la venta en diferentes foros o mercados ilegales.

    Además, se llega a producir una triple extorsión cuando el atacante ha conseguido información sensible de terceros afectados y contacta con los mismos de forma directa para extorsionarles mediante la amenaza de hacer públicos sus datos personales si no pagan un rescate para impedirlo.

    En el último año, el ransomware HIVE ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EEUU. Concretamente, desde junio de 2021, más de 1500 empresas de más de ochenta países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de cien millones de euros en pagos de rescate.

    Desde junio de 2021 hasta noviembre de 2022, los investigados utilizaron el ransomware HIVE para apuntar a una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, empresas de telecomunicaciones, fabricación, tecnología de la información y atención médica y salud pública. En uno de sus mayores ataques, los afiliados de HIVE atacaron un hospital, perturbando gravemente el funcionamiento del mismo durante la pandemia de la COVID-19.

    Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de HIVE obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos.

    Rescates

    Europol impulsó los esfuerzos de mitigación con otros países de la UE para impedir el despliegue de efectos perniciosos en las víctimas, con lo que se evitó que las empresas privadas fueran víctimas del ransomware HIVE. Las autoridades policiales proporcionaron la clave de descifrado a las empresas comprometidas para ayudarlas a descifrar sus datos sin recurrir al pago del rescate. Este esfuerzo ha impedido el pago de más de 130 millones de dólares, lo que equivale a unos 120 millones de euros en pagos por rescate.

    Europol, además de facilitar el intercambio de información, ha apoyado la coordinación de la operación y ha financiado reuniones operativas en Portugal y los Países Bajos. En el marco de la operación, Europol ha brindado apoyo para el análisis de información técnica sobre casos judicializados dentro y fuera de la UE, así como para el estudio de operaciones con criptomonedas, malware, descifrado y análisis forense.

    Por otra parte, también ha colaborado el Grupo de Trabajo Conjunto de Acción contra el ciberdelito (J-CAT) de Europol. Este equipo operativo, con carácter permanente, está formado por oficiales de enlace de delitos cibernéticos de diferentes países que trabajan en investigaciones de delitos altamente tecnificados o de «High Tech Crimen».

    NO COMMENTS

    LEAVE A REPLY

    Escribe un comentario
    Escribe aquí tu nombre

    Salir de la versión móvil