El Departamento de Justicia de los Estados Unidos anunció el desmantelamiento del grupo de ciberdelincuentes detrás del ransomware Hive, en una operación coordinada con las fuerzas del orden alemanas (la Policía Criminal Federal Alemana y el Cuartel General de Policía de Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos.
Las fuerzas del orden tomaron el control de los servidores y sitios web que usa Hive para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas.
Con más de 1,500 víctimas en más de 80 países de todo el mundo, el ransomware Hive ha afectado hospitales, distritos escolares, empresas financieras e infraestructura crítica.
Según el FBI, desde finales de julio de 2022 ha penetrado en las redes informáticas de Hive, capturando claves de descifrado que ha ofrecido a las víctimas en todo el mundo, evitando que tuvieran que pagar los 130 millones de dólares de rescate exigidos. Desde entonces han sido más de 300 claves de descifrado que ha proporcionado a las víctimas atacadas por Hive. También a distribuido más de 1,000 claves de descifrado adicionales a víctimas de versiones anteriores de Hive.
Los ataques del ransomware Hive han causado importantes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19.
Hive usó un modelo de ransomware como servicio (RaaS) para hacer ataques de ransomware. Los ciberdelincuentes de Hive emplearon un modelo de ataque de doble extorsión, con amenazas de la filtración de los datos confidenciales robados y el rescate de los datos cifrados por el ransomware.
El grupo de Hive obtuvo el acceso inicial a las redes de las víctimas a través de inicios de sesión de un solo factor, mediante el Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN), y otros protocolos de conexión de red remota. También mediante la explotación de las vulnerabilidades de FortiToken; así como por el envío de correos electrónicos de phishing con archivos adjuntos maliciosos.