El grupo de ransomware Hive ha estado en el radar de las autoridades estadounidenses debido a sus nefastas operaciones. El grupo se ha centrado en más de 1500 víctimas en más de 80 países, extorsionando cientos de millones de dólares en pagos de rescate. En un reciente anunciot, el El Departamento de Justicia de EE. UU. (DOJ, por sus siglas en inglés) anunció que se infiltró e interrumpió con éxito las operaciones del grupo.
Hive Ransomware Group y su modus operandi
Hive, como muchos grupos de ransomware, opera un ransomware-modelo como servicio, enfocado a entidades sanitarias y de salud pública. En este modelo, los administradores del grupo crean cepas de ransomware fáciles de usar y reclutan afiliados para llevar a cabo los ataques. Estos afiliados luego usan el software para robar datos de las víctimas y cifrar sus sistemas, exigiendo un rescate a cambio de la clave de descifrado y la promesa de no publicar los datos robados. Si la víctima paga el rescate, el administrador y el afiliado dividen el rescate 80/20. Aquellos que se niegan, sin embargo, encuentran sus datos filtrados en la web.
El Memorial Health System, con sede en Illinois, fue el primer objetivo del grupo en agosto de 2021, seguido por el servicio de salud pública de Costa Rica y Empress EMS, proveedor de servicios de ambulancia y respuesta a emergencias con sede en Nueva York. El grupo también apuntó a empresas como Tata Power, una empresa de generación de energía en India, en octubre.
Acción policial coordinada contra Hive
Trabajando junto con las fuerzas del orden de Alemania y los Países Bajos, el FBI llevó a cabo la operación solo unos meses después de que la unidad de seguridad cibernética del gobierno federal, CISA , hizo sonar la alarma sobre los continuos esfuerzos de extorsión de Hive. El FBI confirmó que había estado monitoreando la red informática de Hive desde julio de 2022, lo que permitió a los agentes federales capturar y ofrecer las claves de descifrado de Hive a las víctimas de todo el mundo.
Según el fiscal general de los EE. UU., Merrick Garland, desde la operación, el DOJ ha ayudado al menos a 336 víctimas del ransomware Hive y ha evitado más de 130 millones de dólares en pagos de rescate. Además, el Departamento de Justicia también desbarató un ataque de ransomware de Hive en un hospital de Luisiana, lo que impidió el pago de un rescate de $3 millones, y otro ataque a una escuela en Texas.
Ahora, la agencia ha comenzado a desmantelar la parte delantera y trasera de Hive.-infraestructura final en los EE. UU. y en el extranjero, que incluyó la incautación de dos de los servidores back-end de Hive ubicados en Los Ángeles. Si bien el DOJ ha interrumpido las operaciones del grupo, todavía está investigando al grupo y aún no ha realizado ningún arresto.
