Una operación de la Agencia de la UE para la Cooperación Policial (Europol) ha permitido desmantelar la infraestructura de la red cibercriminal conocida como “Hive”, especializada en secuestrar los archivos informáticos de sus víctimas y exigir un rescate para recuperarlos. El grupo había atacado a más de 1.300 organizaciones en todo el mundo, entre las que se encontraban grandes y pequeñas empresas, instituciones públicas, sistemas informáticos de infraestructuras críticas e incluso hospitales y centros de salud.
En la investigación coordinada por Europol han participado agentes de la Policía Nacional y ha contado también con la participación del FBI y de otros 17 cuerpos de seguridad europeos, ha informado la Policía Nacional en un comunicado. La implicación de los agentes españoles comenzó en octubre de 2021 tras la denuncia de una empresa que fue víctima de uno de estos secuestros de datos, conocidos como ataques de ransomware. Tras detectar que el ataque provenía del grupo de ciberdelincuentes internacional Hive, uno de los más activos de los últimos años, los agentes españoles se integraron en el grupo de trabajo europeo que les seguía la pista.
Hive utilizaba el método conocido como “ransomware como servicio”, en el que el grupo que crea el malware no es el que lo lanza contra empresas e instituciones, sino que se lo alquila a terceros. Son estos últimos, a los que se conoce como “afiliados”, los que lanzan el ataque aprovechando su conocimiento de las organizaciones locales y sus puntos débiles.
La investigación ha permitido a las fuerzas de seguridad descubrir la ubicación de los servidores principales que Hive utilizaba para sustentar sus ataques. La incautación de este material ha revelado las claves necesarias para descifrar los archivos secuestrados en las últimas ofensivas del grupo, permitiendo a las empresas recuperarlos sin tener que pagar el rescate que exigían los ciberdelincuentes. Según los cálculos de Europol y el FBI, esa suma habría ascendido a unos 120 millones de euros. El comunicado, no obstante, no informa de que se hayan producido detenciones.
“En el último año, el ransomware Hive ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EEUU. Concretamente, desde junio de 2021, más de 1.500 empresas de más de 80 países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de 100 millones de euros en pagos de rescate”, explica la Policía, que recuerda que uno de los ataques más graves del grupo fue contra un hospital, que paralizó sus sistemas informáticos en mitad de la pandemia.
“Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de Hive obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos”, desglosa la comunicación.