Autoritățile de aplicare a legii din 14 state au anunțat destructurarea unei grupări de atacatori cibernetici care, în ultimul an, folosind ransomware HIVE, au șantajat și extorcat peste 1.500 de victime din peste 80 de țări, inclusiv spitale, multinaționale de IT sau din domeniul petrolier ori bănci.
În ultimul an, HIVE ransomware a fost identificat ca fiind o amenințare majoră, folosită pentru compromiterea și criptarea datelor și sistemelor de calculatoare ale victimelor.
În cadrul mecanismului infracțional, persoanele afiliate executau atacurile cibernetice, iar software-ul HIVE ransomware a fost creat, menținut și actualizat de dezvoltatori. Afiliații foloseau modelul de șantajare „Ransomware as a service”. Aceștia ar fi copiat datele și le-ar fi criptat, iar apoi ar fi cerut o răscumpărare pentru a decripta fișierele, dar și pentru a nu publica datele furate pe un site pentru scurgeri de informații. După ce victimele plăteau, răscumpărarea ar fi fost împărțită între afiliați, care păstrau 80%, și dezvoltatori, care primeau restul de 20%.
În perioada iunie 2021 – noiembrie 2022, suspecții au folosit software-ul de răscumpărare HIVE pentru a ținti o gamă largă de întreprinderi și sectoare de infrastructură critică, precum instituții ale statului, companii de telecomunicații, de producție, de tehnologie a informației, de servicii de îngrijire medicală și instituții de sănătate publică.
În urma unui atac grav, membrii afiliați HIVE au vizat un spital, fapt care a avut consecințe severe în privința modului în care spitalul a putut să gestioneze pandemia de COVID-19. Din cauza atacului, spitalul a trebuit să recurgă la metodele clasice de a trata pacienții existenți și nu a putut primi pacienți noi.
Hive a folosit un model ransomware-as-a-service (RaaS) cu administratori, uneori numiți dezvoltatori, și afiliați. RaaS este un model bazat pe abonament în care dezvoltatorii sau administratorii dezvoltă o tulpină de ransomware și creează o interfață ușor de utilizat cu care să o opereze și apoi să recruteze afiliați pentru a implementa ransomware-ul împotriva victimelor. Afiliații au identificat ținte și au implementat acest software rău intenționat pentru a ataca victimele și apoi au câștigat un procent din fiecare plată de răscumpărare.
Atacatorii au folosit un model cu dublă extorcare. Înainte de a cripta sistemul victimei, afiliatul ar exfiltra sau fura date sensibile. Apoi, afiliatul a căutat o răscumpărare atât pentru cheia de decriptare necesară pentru a decripta sistemul victimei, cât și pentru o promisiune de a nu publica datele furate. Actorii din stup au vizat frecvent datele cele mai sensibile din sistemul unei victime pentru a crește presiunea de a plăti. După ce o victimă plătește, afiliații și administratorii împart răscumpărarea 80/20. Hive a publicat datele victimelor care nu plătesc pe site-ul Hive Leak.
Potrivit Agenției de Securitate Cibernetică și Infrastructurii din SUA (CISA), afiliații Hive au obținut acces inițial la rețelele victimelor printr-o serie de metode, inclusiv autentificare cu un singur factor prin Protocolul Desktop la distanță (RDP), rețele private virtuale (VPN) și alte protocoale de conectare la rețea la distanță; exploatarea vulnerabilităților FortiToken și trimiterea de e-mailuri de phishing cu atașamente rău intenționate.
Autoritățile judiciare au pus la dispoziția victimelor cheile de decriptare, pentru ca acestea să nu mai plătească răscumpărarea, prevenind plăți de răscumpărare în valoare de peste 120.000.000 de euro.
Pe teritoriul României, grupul de ransomware HIVE a infectat infrastructura IT a mai multor companii (medii și mari) din diferite domenii de activitate, chiar și din categoria serviciilor esențiale, perturbând funcționarea sistemelor informatice și desfășurarea activității acestora.
În urma investigației desfașurate de polițiștii Direcției de Combatere a Criminalității Organizate – Serviciul de Combatere a Criminalităţii Informatice și Brigada de Combatere a Criminalității Organizate Craiova, împreună cu D.I.I.C.O.T., cu sprijinul F.B.I. și Europol, un afiliat al grupului ransomware HIVE a fost reținut și trimis în judecată, în perioada 2021 – 2022.
La investigația transfrontalieră au colaborat instituții din Canada, Franța, Germania, Irlanda, Lituania, Marea Britanie, Norvegia, Olanda, Portugalia, România, Spania, Suedia și Statele Unite ale Americii.
