La gang Hive ransomware è stata eliminata con una grande operazione internazionale delle forze dell’ordine

Europol ha sostenuto le autorità tedesche, olandesi e statunitensi nella rimozione dell’infrastruttura del prolifico ransomware HIVE. 

Questa operazione internazionale ha coinvolto autorità di 13* paesi in totale. Le forze dell’ordine hanno identificato le chiavi di decrittazione e le hanno condivise con molte delle vittime, aiutandole a riottenere l’accesso ai propri dati senza pagare i criminali informatici. 

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nell’ultimo anno, il ransomware HIVE è stato identificato come una grave minaccia poiché è stato utilizzato per compromettere e crittografare i dati e i sistemi informatici di grandi multinazionali IT e petrolifere nell’UE e negli Stati Uniti. 

Dal giugno 2021, oltre 1 500 aziende di oltre 80 paesi in tutto il mondo sono state vittime degli affiliati di HIVE e hanno perso quasi 100 milioni di euro in pagamenti di riscatto. Gli affiliati hanno eseguito gli attacchi informatici, ma il ransomware HIVE è stato creato, gestito e aggiornato dagli sviluppatori. 

Anche altri pericolosi gruppi di ransomware hanno utilizzato questo cosiddetto modello ransomware-as-a-service (RaaS) per perpetrare attacchi di alto livello negli ultimi anni. 

Ciò ha incluso la richiesta di riscatti per milioni di euro per decrittografare i sistemi interessati, spesso in aziende che gestiscono infrastrutture critiche. Da giugno 2021, i criminali hanno utilizzato il ransomware HIVE per prendere di mira un’ampia gamma di aziende e settori di infrastrutture critiche, tra cui strutture governative, società di telecomunicazioni, produzione, tecnologia dell’informazione, assistenza sanitaria e sanità pubblica. 

In un grande attacco, gli affiliati HIVE hanno preso di mira un ospedale, il che ha portato a gravi ripercussioni su come l’ospedale avrebbe potuto affrontare la pandemia di COVID-19. A causa dell’attacco, questo ospedale ha dovuto ricorrere a metodi analoghi per trattare i pazienti esistenti e non è stato in grado di accettarne di nuovi.  

Gli affiliati hanno attaccato le aziende in modi diversi. 

Alcuni attacchi di HIVE hanno ottenuto l’accesso alle reti delle vittime utilizzando accessi tramite Remote Desktop Protocol, reti private virtuali e altri protocolli di connessione di rete remota.  Altri invece hanno ottenuto l’accesso iniziale alle reti delle vittime distribuendo e-mail di phishing con allegati dannosi e sfruttando le vulnerabilità dei sistemi operativi dei dispositivi attaccati. 

Circa 120 milioni di euro risparmiati grazie agli sforzi di mitigazione

Europol ha semplificato gli sforzi di mitigazione delle vittime con altri paesi dell’UE, impedendo alle società private di cadere vittime del ransomware HIVE. Le forze dell’ordine hanno fornito la chiave di decrittazione alle aziende che erano state compromesse per aiutarle a decrittografare i propri dati senza pagare il riscatto. Questo sforzo ha impedito il pagamento di oltre 130 milioni di dollari o l’equivalente di circa 120 milioni di euro di pagamenti di riscatto.

Europol ha facilitato lo scambio di informazioni, ha sostenuto il coordinamento dell’operazione e ha finanziato riunioni operative in Portogallo e nei Paesi Bassi. Europol ha anche fornito supporto analitico che collega i dati disponibili a vari casi penali all’interno e all’esterno dell’UE e ha sostenuto le indagini attraverso criptovaluta, malware, decrittazione e analisi forensi. 

Nei giorni dell’azione, Europol ha inviato quattro esperti per aiutare a coordinare le attività sul campo. 

Le forze dell’ordine coinvolte sono:

• Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police
• France: National Police (Police Nationale)
• Germany: Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW)
• Ireland: National Police (An Garda Síochána)
• Lithuania: Criminal Police Bureau (Kriminalinės Policijos Biuras)
• Netherlands – National Police (Politie)
• Norway: National Police (Politiet)
• Portugal: Judicial Police (Polícia Judiciária)
• Romania: Romanian Police (Poliția Română – DCCO)
• Spain: Spanish Police (Policía Nacional)
• Sweden: Swedish Police (Polisen)
• United Kingdom – National Crime Agency
• USA – United States Secret Service, Federal Bureau of Investigations

Fonte: https://www.europol.europa.eu/media-press/newsroom/news/cybercriminals-stung-hive-infrastructure-shut-down

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.