0
0
A Europol apoiou as autoridades alemãs, holandesas e americanas na derrubada da infraestrutura do prolífico ransomware HIVE. Esta operação internacional envolveu autoridades de 13 países no total. A aplicação da lei identificou as chaves de descriptografia e as compartilhou com muitas vítimas, ajudando-as a recuperar o acesso aos seus dados sem pagar aos cibercriminosos.
No ano passado, o HIVE ransomware foi identificado como uma grande ameaça, pois foi usado para comprometer e criptografar os dados e sistemas de computador de grandes multinacionais de TI e petróleo na UE e nos EUA. Desde junho de 2021, mais de 1.500 empresas de mais de 80 países em todo o mundo foram vítimas de associados da HIVE e perderam quase 100 milhões de euros em pagamentos de resgate.
Os afiliados executaram os ataques cibernéticos, mas o ransomware HIVE foi criado, mantido e atualizado pelos desenvolvedores. Os afiliados usaram o modelo de dupla extorsão de ‘ransomware-as-a-service’; primeiro, eles copiaram os dados e depois criptografaram os arquivos. Em seguida, eles pediram um resgate para descriptografar os arquivos e não publicar os dados roubados no Hive Leak Site. Quando as vítimas pagavam, o resgate era dividido entre afiliados (que recebiam 80%) e desenvolvedores (que recebiam 20%).
Outros grupos perigosos de ransomware também usaram o chamado modelo de ransomware como serviço (RaaS) para perpetrar ataques de alto nível nos últimos anos. Isso incluiu pedir milhões de euros em resgates para descriptografar os sistemas afetados, geralmente em empresas que mantêm infraestruturas críticas. Desde junho de 2021, os criminosos usam o ransomware HIVE para atingir muitos negócios e setores críticos de infraestrutura, incluindo instalações governamentais, empresas de telecomunicações, manufatura, tecnologia da informação e assistência médica e saúde pública.
Em um grande ataque, as afiliadas da HIVE visaram um hospital, o que levou a graves repercussões sobre como o hospital poderia lidar com a pandemia de COVID-19. Devido ao ataque, este hospital teve de recorrer a métodos análogos para tratar os doentes existentes, não podendo aceitar novos.
As afiliadas atacaram as empresas de diferentes maneiras. Alguns atores do HIVE obtiveram acesso às redes das vítimas usando logins de fator único por meio do Protocolo de Área de Trabalho Remota, redes privadas virtuais e outros protocolos de conexão de rede remota.
Em outros casos, os atores do HIVE ignoraram a autenticação multifator e obtiveram acesso explorando vulnerabilidades. Isso permitiu que criminosos cibernéticos mal-intencionados fizessem login sem solicitar o segundo fator de autenticação do usuário, alterando o nome de usuário entre maiúsculas e minúsculas. Alguns atores do HIVE também obtiveram acesso inicial às redes das vítimas, distribuindo e-mails de phishing com anexos maliciosos e explorando as vulnerabilidades dos sistemas operacionais dos dispositivos atacados.
120 milhões de euros economizados graças aos esforços de mitigação
A Europol simplificou os esforços de mitigação de vítimas com outros países da UE, o que impediu que empresas privadas fossem vítimas do ransomware HIVE. A aplicação da lei forneceu a chave de descriptografia para as empresas que foram comprometidas, a fim de ajudá-las a descriptografar seus dados sem pagar o resgate. Este esforço impediu o pagamento de mais de USD 130 milhões ou o equivalente a cerca de EUR 120 milhões em pagamentos de resgate.
A Europol facilitou a troca de informações, apoiou a coordenação da operação e financiou reuniões operacionais em Portugal e na Holanda. A Europol também forneceu suporte analítico vinculando os dados disponíveis a vários casos criminais dentro e fora da UE e apoiou a investigação por meio de criptomoeda, malware, descriptografia e análise forense.
Nos dias de ação, a Europol destacou quatro peritos para ajudar a coordenar as atividades no terreno. A Europol apoiou as autoridades policiais envolvidas coordenando a análise de criptomoeda e malware, verificando informações operacionais com os bancos de dados da Europol e análises operacionais adicionais e suporte forense. Espera-se que a análise desses dados e de outros casos relacionados desencadeie outras atividades investigativas.
A Joint Cybercrime Action Taskforce (J-CAT) da Europol também apoiou a operação. Essa equipe operacional permanente consiste em oficiais de ligação de crimes cibernéticos de diferentes países que trabalham em investigações de crimes cibernéticos de alto nível.
FONTE: HELPNET SECURITY