El FBI, en una operación conjunta con Europol, la Unidad Nacional de Delincuencia de Alta Tecnología de los Países Bajos, la Policía Criminal Federal de Alemania y la Jefatura de policía de Reutlingen (Alemania) lograron dar un golpe a la ciberdelincuencia que secuestraba datos de las empresas para pedir rescates millonarios posteriormente. El grupo Hive, responsable de estos ataques cibernéticos, fue hackeado por las autoridades.
antilavadodedinero / france24
El Buró Federal de Investigaciones estadounidense, FBI, anunció que hackeó una banda de ramsomware -o secuestro de datos- llamada Hive, que trabajaba desde la internet oscura o “darkweb”, la parte de internet a la que no acceden los navegadores convencionales. Según las autoridades, con esta acción pudo frustrar que este grupo cobrara más de 130 millones de dólares a más de 300 víctimas.
El director de FBI, Christopher Wray, junto al fiscal general de Estados Unidos, Merrick Garland, y la vicefiscal general, Lisa Monaco, dijeron que sus hackers lograron entrar a la red de Hive, con lo que pusieron a la banda bajo vigilancia.
Posteriormente pudieron hacerse con las claves digitales que utilizaba el grupo para desbloquear los datos de las organizaciones que eran víctimas de Hive.
«Anoche, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar e intentar extorsionar cientos de millones de dólares a víctimas en Estados Unidos y en el mundo», dijo el fiscal general Garland.
Los ciberdelincuentes se infiltran en los sistemas informáticos de sus víctimas, encriptan los datos de las empresas y exigen un pago para desbloquearlos.
Esta operación les permitió alertar a los afectados antes de que sus datos cayeran en las manos de Hive y así tomaron medidas para proteger la información y evitaron que el grupo les exigiera los pagos para liberarlos.
Si las víctimas se negaban a pagar, Hive amenazaba con publicar archivos y documentos internos confidenciales en internet.
Según la vicefiscal general, usaron «medios legales” con los que hackearon a los hackers». Además, afirmó que le dieron «la vuelta a la tortilla».
«Lamentablemente, durante estos siete meses, descubrimos que solo el 20% de las víctimas de Hive habían alertado a la policía», dijo el jefe del FBI, e instó a todas las empresas y entidades a contactar a sus agentes lo antes posible en caso de ataque.
La noticia de la caída de Hive se dio a conocer este jueves en la mañana cuando apareció un letrero en su sitio web que decía: «La Oficina Federal de Investigación incautó este sitio como parte de la acción coordinada de aplicación de la ley tomada contra el ransomware Hive».
Operación “Dawnbreaker”
La Unidad Nacional de Delincuencia de Alta Tecnología de los Países Bajos junto a la Policía Criminal Federal de Alemania, la Jefatura de policía de Reutlingen de Alemania, así como Europol ayudaron en la operación bautizada como “Dawnbreaker”, según lo confirmó el director del FBI, que asimismo dijo que unidades de Alemania y Países Bajos incautaron los servidores de Hive.
En un comunicado de la Policía y la Fiscalía del estado de Baden-Wuerttemberg, que colaboraron en la investigación, el comisario de policía, Udo Vogel, afirmó que «la cooperación intensiva a través de fronteras nacionales y continentes, caracterizada por la confianza mutua, es la clave para luchar eficazmente contra la ciberdelincuencia grave».
La fiscalía de Stuttgart, Alemania, dijo a su vez en un comunicado que la operación tuvo su origen en una investigación que sus servicios abrieron tras ataques contra empresas en la región que “no cedieron a los chantajes e informaron a las autoridades».
La agencia de noticias Rueters intentó contactar con Hive, pero no pudo localizar sus datos de contacto. Tampoco está claro cuál es su ubicación geográfica.
El caso de Hive de este miércoles es distinto a otros llevados por el Departamento de Justicia de Estados Unidos contra estos ciberdelincuentes. En 2021 la compañía Colonial Pipeline Co., fue objeto de un ciberataque y las autoridades lograron incautar 2,3 millones de dólares en criptodivisas de rescate después de que la compañía ya había pagado a los hackers.
La operación de este jueves permitió que los investigadores intervinieran antes de que Hive exigiera los pagos. La infiltración encubierta, que comenzó en julio de 2022, pasó desapercibida para la banda hasta ahora.
Rescates millonarios
Entre el grupo de cibercriminales Hive era una de los más productivos entre estas bandas que extorsionan a empresas internacionales tras cifrar sus datos y exigir rescates millonarios en criptomonedas.
El Departamento de Justicia estadounidense estima que la organización ha atacado más de 1.500 víctimas en 80 países y ha logrado recibir pagos por más de 100 millones de dólares.
Hasta el momento no hay reporte de que las autoridades hayan detenido a alguien de Hive.
Para el investigador canadiense, Brett Callow, quien trabaja para la empresa de ciberseguridad Emsisoft, Hive en 2022 fue responsable de al menos 11 incidentes en los que resultaron afectadas organizaciones gubernamentales, escuelas y proveedores de atención médica de Estados Unidos. En un correo electrónico dijo que «Hive es uno de los grupos más activos, si no el que más».
El fiscal general Garland afirmó que la operación realizada por el FBI evitó que una amplia cantidad de víctimas pagara por sus datos secuestrados y que al distrito escolar de Texas «la oficina le proporcionó claves de descifrado… salvándolo de hacer un pago de rescate de 5 millones de dólares».
Entre las víctimas de Hive estaban el servicio de salud pública de Costa Rica, Tata Power de India, el gigante minorista alemán Media Markt, la compañía estatal de gas de Indonesia, además de varios hospitales de Estados Unidos.