El Departamento de Justicia de Estados Unidos anunció este jueves el desmantelamiento de una de las principales redes de ataque de ransomware del mundo, denominada "Hive", acusada de haber extorsionado a más de 1500 víctimas en todo el mundo.

"Anoche, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar e intentar extorsionar cientos de millones de dólares a víctimas en Estados Unidos y en el mundo", dijo el fiscal general, Merrick Garland.

Los servidores del grupo fueron incautados y la policía federal tomó el control de su sitio en la web profunda, la parte de Internet a la que no acceden los navegadores convencionales, señaló.

La operación se realizó en coordinación con las fuerzas policiales de Alemania y Países Bajos, así como con Europol, agregó el director del FBI, Christopher Wray.

Esta operación internacional involucró a autoridades de 13 países en total. Las fuerzas del orden identificaron las claves de descifrado y las compartieron con muchas de las víctimas, ayudándolas a recuperar el acceso a sus datos sin pagar a los ciberdelincuentes.

En el último año, HIVE se identificó como una amenaza importante ya que se utilizó para comprometer y cifrar los datos y los sistemas informáticos de las grandes multinacionales petroleras y de tecnologías de la información en la Unión Europea y los Estados Unidos.

Imagen policiaca señalando la confiscación de sitios web asociados al cibergrupo Hive. Créditos: Europol.

A finales de mayo de 2022, la Caja Costarricense de Seguro Social (CCSS) sufrió un ciberataque obligando a la institución a apagar todos los sistemas informáticos y forzando a sus hospitales a volver a los expedientes de papel para atender pacientes, mientras se determinaba el nivel de afectación y una posible solución.

En las primeras horas del ataque las impresoras de la institución empezaron a imprimir una nota de rescate estandarizada utilizada por Hive Ramsonware Group, la cual indicaba que la red de la institución fue vulnerada y todos los datos fueron encriptados: datos personales, reportes financieros y otros documentos importantes, listos para ser filtrados en Internet en caso de que la Caja no adquiriera un programa informático propiedad de los cibercriminales para recuperar sus sistemas.

La nota de rescate advertía a la Caja de no modificar, renombrar o borrar los archivos afectados, pues caso contrario, los datos no podrían desencriptarse; así como tampoco reportar el ataque a la policía o al FBI; no contratar una compañía de recuperación de archivos y no negarse a comprar el programa 'oficial', bajo amenaza de publicar todo lo sustraído.

De acuerdo con una alerta del Buró Federal de Investigaciones (FBI, por sus siglas en Inglés), Hive Ransomware Group apareció por primera vez en junio del año 2021 y probablemente funcionaba como un ransomware basado en afiliados, empleaba una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que creaba desafíos importantes para la defensa y la mitigación.

Hive utilizaba múltiples mecanismos para comprometer las redes comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.

Según el FBI, después de comprometer la red de una víctima, los actores del ransomware Hive extraían los datos y cifraban archivos en la red; y dejaban una nota de rescate en cada directorio afectado dentro del sistema de la víctima, que proporcionaba instrucciones sobre cómo comprar el software de descifrado. La nota de rescate también amenazaba con filtrar datos de víctimas exfiltrados en el sitio "HiveLeaks" de acceso en la red profunda a través del navegador Tor.

Según el análisis de la agencia federal estadounidense, el ransomware de Hive buscaba los procesos de las computadoras y sistemas relacionados con copias de seguridad, antivirus/antispyware y copia de archivos y los obligaba a finalizar, para facilitar el cifrado de archivos. Asimismo, el ransomware eliminaba las copias de seguridad sin notificar a la víctima.

Algunas víctimas informaron al FBI haber recibido llamadas telefónicas de actores de Hive solicitando el pago por sus archivos. El plazo inicial para el pago fluctuaba entre 2 y 6 días, pero los criminales habían prolongado el plazo en respuesta al contacto de la víctima.

Hospitales, blancos predilectos de los cibercriminales de Hive

En agosto de 2021, el sitio especializado ZDNet reveló que Hive había atacado al menos 28 organizaciones de salud en los Estados Unidos, afectando clínicas y hospitales a lo largo de Ohio y Virginia del Oeste.

El Memorial Healthcare System sufrió un ataque en agosto de 2021, obligando a sus hospitales a usar expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados.

La organización terminó pagando el rescate para recuperar el acceso a sus sistemas.

En diciembre de 2021 el grupo de cibercriminales reveló haber atacado 355 compañías a lo largo de seis meses, la gran mayoría en los Estados Unidos. De esas, al menos 104 terminaron pagando el rescate por recuperar sus sistemas.

En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware que permitía obtener la clave maestra y recuperar la información secuestrada. Se desconoce si el archivo malicioso fue actualizado posteriormente para cubrir esa vulnerabilidad.