da Hardware Upgrade :
Un’operazione congiunta delle forze di polizia internazionali ha
sequestrato e messo offline le risorse della banda ransomware Hive,
dopo che l’FBI riuscita a condurre con successo un’operazione sotto
copertura lo scorso mese di luglio.
I siti Web Tor della banda di ransomware ora mostrano un avviso di
sequestro firmato da molteplici forze dell’ordine, tra cui quelle di Canada,
Francia, Germania, Lituania, Norvegia, Paesi Bassi, Portogallo, Romania,
Regno Unito, Spagna e Svezia.
Il Dipartimento di Giustizia degli USA e l’Europol
hanno annunciato oggi gli esiti dell’operazione. “Dalla fine di luglio
2022 l’FBI penetrato nella rete di Hive, ha sottratto le chiavi per
decifrare gli archivi e le ha condivise con le vittime in tutto il mondo,
evitando cos il pagamento di un complessivo di 130 milioni di dollari in
riscatti” ha dichiarato il Dipartimento di Giustizia.
L’FBI riuscito nel corso di questa operazione a recuperare oltre
300 chiavi da fornire alle vittime di Hive e altre 1000 chiavi a vittime
colpite in precedenza dall’attivit della banda ransomware. Le forze
di polizia sono inoltre riuscite ad ottenere l’accesso a due server
dedicati e ad un server privato virtuale presso un provider californiano,
i quali sono stati affittati usando e-mail appartenenti ai membri della
banda Hive. Parallelamente la polizia olandese ha ottenuto l’accesso a ue
server di backup situati nei Paesi Bassi.
Questa si dimostrata essere la struttura informatica principale
dell’operazione Hive, esaminando la quale stato possibile trovare
registri di comunicazione, valori hash dei malware, informazioni suoi 250
affiliati alla banda e informazioni sulle vittime.
Il collettivo Hive ha dato vita ad un’attivit di
“Ransomware-as-a-Service” a partire da giungo 2021. La compromissione
delle reti delle vittime avviene tramite campagne di phishing oppure
sfruttando vulnerabilit note nei dispositivi esposti ad Internet, o
ancora tramite credenziali valide acquistate a seguito di furti di
database terzi.
Stabilito il primo punto d’accesso ad una rete, gli aggressori si
diffondono poi “orizzontalmente” ad altri dispositivi, sottraendo
informazioni e crittografandole successivamente cos da poter mettere in
atto un meccanismo a “doppia estorsione”: il riscatto viene richiesto
non solo per sbloccare i file criptati, ma anche dietro la minaccia di
diffondere le informazioni sottratte. Hive ha anche mostrato una
certa spregiudicatezza nello scegliere le proprie vittime, non facendosi
alcun problema a prendere di mira realt sanitarie e servizi di emergenza.
Tra le vittime pi note di Hive ci sono il Memorial Health System,
MediaMarkt, Bell Technical Solutions, Tata Power e la New York Racing
Association. Nel corso della sua attivit, da giugno 2021, Hive ha
messo a segno numerosi colpi per un bottino che, stando alle analisi FBI
risalenti a novembre 2022, si attesta a oltre 100 milioni di dollari
estorti a pi di 1500 realt.
FBI disrupts the Dark Web site of the Hive
ransomware group.If you have information that links Hive or any other malicious cyber
actors targeting U.S. critical infrastructure to a foreign government,
send us your tip via our Tor tip line. You could be eligible for a
reward. https://t.co/7Bqz0DUSCf
pic.twitter.com/n8U3TNC7lh
Rewards for Justice (@RFJ_USA) January
26, 2023
Dopo aver sequestrato le risorse informatiche di Hive, il Dipartimento di
Stato degli USA ha offerto una ricompensa fino a 10 milioni di dollari
per chiunque possa avere informazioni da condividere e in grado di
collegare il gruppo ransomware a governi esteri.
Non la prima volta che il Dipartimento di Stato offre ricompense a tal
scopo: negli ultimi due anni sono stati offerti fino a 15 milioni di
dollari per informazioni utili ad individuare i membri delle operazioni
ransomware Conti, REvil e Darkside.