La chiusura del ransomware HIVE è stata un duro colpo per i criminali informatici. Europol ha aiutato le autorità tedesche, olandesi e statunitensi a chiudere i server e fornire strumenti di decrittazione alle vittime.
Roma – Europol ha sostenuto le autorità tedesche, olandesi e statunitensi nella rimozione dell’infrastruttura del prolifico ransomware HIVE. Questa operazione internazionale ha coinvolto autorità di 13 Paesi in totale. Le forze dell’Ordine hanno identificato le chiavi di decrittazione e le hanno condivise con molte delle vittime, aiutandole a riottenere l’accesso ai propri dati senza pagare i criminali informatici.
Nell’ultimo anno, il ransomware HIVE è stato identificato come una grave minaccia poiché è stato utilizzato per compromettere e crittografare i dati e i sistemi informatici di grandi multinazionali IT e petrolifere nell’UE e negli Stati Uniti. Dal giugno 2021, oltre 1.500 aziende di oltre 80 Paesi in tutto il mondo sono state vittime di associati HIVE e hanno perso quasi 100 milioni di euro in pagamenti di riscatto. Gli affiliati hanno eseguito gli attacchi informatici, ma il ransomware HIVE è stato creato, gestito e aggiornato dagli sviluppatori. Gli affiliati hanno utilizzato il modello della doppia estorsione del “ransomware-as-a-service“; prima hanno copiato i dati e poi crittografato i file.
Quindi, hanno chiesto un riscatto sia per decrittare i file sia per non pubblicare i dati rubati sul sito Hive Leak. Quando le vittime hanno pagato, il riscatto è stato poi suddiviso tra affiliati (che hanno ricevuto l’80%) e sviluppatori (che hanno ricevuto il 20%).
Anche altri pericolosi gruppi di ransomware hanno utilizzato questo cosiddetto modello ransomware-as-a-service (RaaS) per perpetrare attacchi di alto livello negli ultimi anni. Ciò ha incluso la richiesta di riscatti per milioni di euro per decrittare i sistemi interessati, spesso in aziende che gestiscono infrastrutture critiche. Da giugno 2021, i criminali hanno utilizzato il ransomware HIVE per prendere di mira un’ampia gamma di aziende e settori di infrastrutture critiche, tra cui strutture governative, società di telecomunicazioni, produzione, tecnologia dell’informazione, assistenza sanitaria e sanità pubblica. In un grande attacco, gli affiliati HIVE hanno preso di mira un ospedale, il che ha portato a gravi ripercussioni su come l’ospedale avrebbe potuto affrontare la pandemia di COVID-19.
A causa dell’attacco, questo ospedale ha dovuto ricorrere a metodi analoghi per trattare i pazienti esistenti e non è stato in grado di accettarne di nuovi. Gli affiliati hanno attaccato le aziende in modi diversi. Alcuni attori HIVE hanno ottenuto l’accesso alle reti delle vittime utilizzando accessi a fattore singolo tramite Remote Desktop Protocol, reti private virtuali e altri protocolli di connessione di rete remota. In altri casi, gli attori di HIVE hanno aggirato l’autenticazione a più fattori e ottenuto l’accesso sfruttando le vulnerabilità. Ciò ha consentito ai criminali informatici malintenzionati di accedere senza richiedere il secondo fattore di autenticazione dell’utente modificando le maiuscole e minuscole del nome utente. Alcuni attori di HIVE hanno anche ottenuto l’accesso iniziale alle reti delle vittime distribuendo e-mail di phishing con allegati dannosi e sfruttando le vulnerabilità dei sistemi operativi dei dispositivi attaccati.
Circa 120 milioni di euro risparmiati grazie agli sforzi di mitigazione
Europol ha semplificato gli sforzi di mitigazione delle vittime con altri Paesi dell’UE, impedendo alle società private di cadere vittime del ransomware HIVE. Le forze dell’ordine hanno fornito la chiave di decrittazione alle aziende che erano state compromesse per aiutarle a decrittare i propri dati senza pagare il riscatto. Questo sforzo ha impedito il pagamento di oltre 130 milioni di dollari o l’equivalente di circa 120 milioni di euro di pagamenti di riscatto.
Europol ha facilitato lo scambio di informazioni, ha sostenuto il coordinamento dell’operazione e ha finanziato riunioni operative in Portogallo e nei Paesi Bassi. Europol ha anche fornito supporto analitico che collega i dati disponibili a vari casi penali all’interno e all’esterno dell’UE e ha sostenuto le indagini attraverso criptovaluta, malware, decrittazione e analisi forense. Nei giorni di azione, Europol ha inviato quattro esperti per aiutare a coordinare le attività sul campo. Europol ha sostenuto le autorità di contrasto coinvolte coordinando l’analisi della criptovaluta e del malware, il controllo incrociato delle informazioni operative con le banche dati di Europol e ulteriori analisi operative e supporto forense.
L’analisi di questi dati e di altri casi correlati dovrebbe innescare ulteriori attività investigative. Anche la task force congiunta per l’azione contro la criminalità informatica (J-CAT) presso Europol ha sostenuto l’operazione. Questo team operativo permanente è composto da funzionari di collegamento per la criminalità informatica di diversi paesi che lavorano su indagini di alto profilo.
*Le forze dell’Ordine coinvolte
Canada – Royal Canadian Mounted Police (RCMP) e Peel Regional Police
Francia – Polizia Nazionale (Police Nationale)
Germania – Ufficio Federale di Polizia Criminale (Bundeskriminalamt) e Questura di Reutlingen – CID Esslingen (Polizei BW)
Irlanda – Polizia Nazionale (An Garda Síochána)
Lituania – Ufficio di polizia criminale (Kriminalinės Policijos Biuras)
Paesi Bassi – Polizia nazionale (Politie)
Norvegia – Polizia nazionale (Politiet)
Portogallo – Polizia giudiziaria (Polícia Judiciária)
Romania – Polizia rumena (Poliția Română – DCCO)
Spagna – Polizia spagnola (Policía Nacional)
Svezia – Polizia svedese (Polisen)
Regno Unito – National Crime Agency
USA – Servizio segreto degli Stati Uniti, Federal Bureau of Investigations
Con sede a L’Aia, nei Paesi Bassi, Europol sostiene i 27 Stati membri dell’UE nella lotta contro il terrorismo, la criminalità informatica e altre forme gravi di criminalità organizzata. Europol collabora anche con molti Stati partner non UE e organizzazioni internazionali. Dalle sue valutazioni delle minacce alla raccolta di informazioni e alle attività operative, Europol contribuisce a rendere l’Europa più sicura.