O grupo de ransomware Hive está no radar das autoridades dos EUA devido às suas operações nefastas. O grupo atingiu mais de 1.500 vítimas em mais de 80 países, extorquindo centenas de milhões de dólares em pagamentos de resgate. Em um recente anúnciot, o O Departamento de Justiça dos EUA (DOJ) anunciou que conseguiu se infiltrar e interromper com sucesso as operações do grupo.
Hive Ransomware Group e seu modus operandi
Hive, como muitos grupos de ransomware, opera um ransomware-como um modelo de serviço, com foco em saúde e entidades de saúde pública. Nesse modelo, os administradores do grupo criam cepas de ransomware fáceis de usar e recrutam afiliados para realizar ataques. Esses afiliados usam o software para roubar dados das vítimas e criptografar seus sistemas, exigindo um resgate em troca da chave de descriptografia e a promessa de não publicar os dados roubados. Se a vítima pagar o resgate, o administrador e o afiliado dividem o resgate em 80/20. Aqueles que se recusam, no entanto, encontram seus dados vazados na web.
O Memorial Health System, com sede em Illinois, foi o primeiro alvo do grupo em agosto de 2021, seguido pelo serviço público de saúde da Costa Rica e Resposta de emergência com sede em Nova York e provedor de serviços de ambulância Empress EMS. O grupo também visou empresas como a Tata Power, uma empresa de geração de energia na Índia, em outubro.
Ação policial coordenada contra Hive
Trabalhando junto com as autoridades alemãs e holandesas, o FBI realizou a operação poucos meses depois que a unidade de segurança cibernética do governo federal, CISA , soou o alarme sobre os esforços de extorsão em andamento da Hive. O FBI confirmou que monitora a rede de computadores do Hive desde julho de 2022, permitindo que agentes federais capturem e ofereçam as chaves de descriptografia do Hive às vítimas em todo o mundo.
De acordo com o procurador-geral dos EUA, Merrick Garland, desde a operação, o DOJ ajudou pelo menos 336 vítimas do ransomware Hive e evitou mais de US$ 130 milhões em pagamentos de resgate. Além disso, o DOJ também interrompeu um ataque de ransomware Hive em um hospital da Louisiana, impedindo o pagamento de um resgate de US$ 3 milhões, e outro ataque a uma escola no Texas.
Agora, a agência começou a desmontar a frente e o verso do Hive infra-estrutura nos EUA e no exterior, que incluiu a apreensão de dois dos servidores back-end da Hive localizados em Los Angeles. Embora o DOJ tenha interrompido as operações do grupo, ele ainda está investigando o grupo e ainda não fez nenhuma prisão.