Data: 06/02/2023 07:59:00 - Autore: Marco R. Marzaduri

Sgominata banda Hive

[Torna su]

In una conferenza stampa convocata per l'occasione, il Dipartimento di Giustizia degli USA ha dichiarato che gli agenti dell'FBI sono riusciti a debellare la famigerata banda Hive ed a vanificare quindi le sue campagne di estorsione per un valore di 130 milioni di dollari.

Il Dipartimento della Difesa dichiara di essersi infiltrato nella rete del gruppo Hive e di aver presenziato dall'interno, alle attività criminali del gruppo.

"Semplicemente, abbiamo hackerato gli hacker con metodi legali", ha dichiarato il vice procuratore generale Lisa Monaco durante un briefing con la stampa.

La intrusione dell'FBI è avvenuta nel mese di Luglio 2022, e da allora, l'FBI è riuscita ad entrare in possesso di 300 chiavi di decrittazione di file appartenenti alle aziende vittime dell'estorsione ransomware. Questo ha permesso alle imprese di ritornare in possesso dei loro dati senza dover pagare il riscatto. Secondo l'FBI solo il 20% delle imprese aveva denunciato di essere stato vittima di un attacco ransomware.

Il gruppo Hive vanta un lungo elenco di precedenti e secondo il Dipartimento di Giustizia era stato responsabile di aver preso di mira oltre 1.500 vittime in più di 80 Paesi del mondo.

Dopo 6 mesi di osservazione dell'attività criminale, L'FBI ha potuto venire in possesso di molte informazioni, tra cui quella della localizzazione dei server che alloggiavano la rete, ubicati in Germania ed in Olanda. Con la collaborazione degli inquirenti locali, hanno provveduto a mettere fuori servizio i server.

Secondo Monaco, "abbiamo spezzato il modello di business di Hive ribaltando la situazione". Secondo l'FBI, Hive era una delle cinque principali minacce ransomware nel mondo. Dal giugno 2021, le vittime di Hive hanno pagato oltre 100 milioni di dollari di riscatto, secondo il Dipartimento di Giustizia.

Il grande business del RaaS

[Torna su]

Il modello di business di Hive è il ransomware-as-a-service (RaaS). Gli amministratori di Hive costruiscono un ceppo di ransomware, progettano un'interfaccia facile da usare per controllarlo e poi arruolano affiliati a cui vendono il servizio per diffonderlo alle vittime. Gli affiliati, dopo aver pagato una quota d'ingresso, dispongono di un Control Panel che permette loro di effettuare attacchi anche senza avere grandi conoscenze tecniche. La spartizione degli eventuali utili avviene nella misura dell'80% per l'affiliato ed il 20% per Hive.

Le vittime colpite dal ransomware possono comunicare con gli estorsori di Hive mediante il sito web di Hive nel Dark Web. A questo punto, gli interlocutori di Hive avviano una trattativa con le vittime, formulano la richiesta di riscatto (in genere in Bitcoin o in un'altra criptovaluta) per l'1% del fatturato annuo dell'azienda e dimostrano il loro coinvolgimento nell'attacco fornendo file di esempio o un decrittore per un piccolo sottoinsieme di file crittografati.

Gli estorsori di Hive utilizzavano una strategia di attacco a doppia estorsione. L'affiliato rubava o esfiltrava informazioni riservate prima di crittografare i file. L'affiliato chiedeva poi il pagamento in cambio della promessa di non divulgare i dati rubati e di consegnare la chiave di decrittazione necessaria per sbloccare il sistema della vittima. Per incentivare ulteriormente il pagamento, gli affiliati di solito prendevano di mira le informazioni più private del sistema della vittima. In caso di società quotata in Borsa, minacciavano di mandare i dati alla SEC Security Exchange Commission.

Quando invece le vittime si rifiutavano di pagare, gli amministratori di Hive, pubblicavano i dati rubati sul sito "HiveLeaks".

La piaga del ransomware

[Torna su]

La Cybersecurity and Infrastructure Security Agency (CISA) statunitense sostiene che gli affiliati utilizzano tecniche come il phishing via e-mail, sfruttano le falle di autenticazione FortiToken e l'accesso alle VPN aziendali e ai desktop remoti (tramite RDP) che sono protetti solo con l'autenticazione a fattore singolo.

Una volta entrati nel sistema informatico della vittima, in genere cominciano a disabilitare qualsiasi software di sicurezza, crittografare i dati e, creare directory criptate con la nota di riscatto HOW TO DECRYPT.txt che contiene il link che invia le vittime al chat del sito web di Hive per discutere le richieste di riscatto.

Secondo L'FBI, dal giugno 2021, il gruppo Hive, ha attaccato più di 1.500 vittime in tutto il mondo.

Nel Maggio 2022 Hive aveva sferrato un duro attacco al servizio sanitario del Costa Rica. Solo pochi mesi prima, il Presidente del Costa Rica aveva dichiarato un'emergenza nazionale, in seguito ad un attacco della banda russa Conti. In seguito, la banda Conti si sarebbe sciolta, alcuni dicono che fu per via della taglia di 15 milioni di dollari posta dal Governo degli USA. Ma secondo altri osservatori, il presunto "scioglimento" della banda Conti obbedisce invece ad una esigenza di internazionalizzazione, nel contesto generale della guerra Russia Ucraina. Quindi gli hacker di Conti non si sarebbero ritirati dal business bensì sarebbero confluiti in gruppi più piccoli di Raas, come Hive, Avos Locker, Black Cat, e Black Byte con lo scopo di farli diventare grandi gruppi con capacità di "fuoco" per attaccare grandi bersagli.

Il RaaS ha un futuro?

[Torna su]

Tra gli attacchi più famosi di Hive ricordiamo Media Markt il rivenditore europeo di elettronica di consumo, Emily Frey concessionario d'auto europeo, il Memorial Healthcare System negli USA, la impresa edile Sando in Spagna. Nel luglio 2022 Hive era tra le 5 bande di ransonware più attiva, con operatività soprattutto in Nord America ed Europa, seguite da Sud America, Asia e Medio Oriente.

L'FBI ha distrutto la rete di Hive, ma non ha effettuato nessun arresto. Cosa faranno i componenti della banda? Secondo Jim Simpson, direttore dell'intelligence sulle minacce dell'azienda britannica Searchlight Cyber, gli hacker di Hive "si sarebbero presto insediati sotto un altro nome o sarebbero stati reclutati in altre bande RaaS".

Tuttavia, Simpson ha applaudito l'azione dell’FBI, notando che "l'operazione ha imposto un costo significativo alle attività di Hive in entrambi i casi".


Tutte le notizie