Operación policial internacional desmantela las operaciones del grupo de ransomware Hive

A pesar de que lo que algunos puedan pensar acerca de la supuesta impunidad de las actividades criminales en Internet, las fuerzas policiales realizan operaciones constantemente con la finalidad de acabar con todo tipo de ciberdelitos y tratar de detener a los responsables. Recientemente se ha conocido la noticia del desmantelamiento del grupo de ransomware Hive, uno de los más activos durante los últimos años y que ha causado problemas a cientos de empresas en todo el mundo.

Operación policial internacional

En la tarde de ayer saltaba el anuncio conjunto por parte de Europol y el Departamento de Justicia de los Estados Unidos donde se anunciaba que el sitio de Tor del ransomware Hive relacionado con los pagos de los rescates y la publicación de la información robada de sus víctimas. Esto concluía una operación de varios meses en los cuales el FBI consiguió infiltrarse en la infraestructura usada por este grupo criminal y que terminó colocando un aviso en la web de los delincuentes dentro de la red Tor.

Esta infiltración dentro da la infraestructura permitió a las fuerzas policiales, entre las que se incluye la Policía Nacional española, aprender como se preparaban los ataques y avisar a las posibles víctimas. Así mismo, también ha permitido obtener las claves de cifrado de los sistemas atacados y proporcionárselas a las víctimas sin necesidad de que estas realicen un pago a los delincuentes, lo que ha permitido ahorrar hasta 130 millones de dólares en rescates.

La coordinación de las agencias policiales ha permitido avisar a posibles víctimas de este grupo criminal en varios países, con Europol facilitando el intercambio de información, coordinando las operaciones y proporcionando soporte analítico que relacionaba los datos encontrados con varios casos criminales en todo el mundo. Además, ha apoyado a los diferentes grupos policiales con las investigaciones relacionadas con el rastreo de las criptomonedas usadas en el pago de los rescates, el descifrado de los archivos afectados y en los análisis forenses.

Por su parte, el Departamento de Estado de los Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares para cualquiera que aporte información que pueda ayudar a relacionar las acciones del grupo de ransomware Hive (o cualquier otro grupo similar) con gobiernos extranjeros.

Este golpe representa un importante avance en la lucha contra los grupos de ransomware que ofrecen sus amenazas como un servicio. Recordemos que Hive fue lanzado en Junio de 2021 y, desde entonces ha protagonizado algunos ataques importantes a empresas de todos los tamaños e incluso a algún estado.

Como queda la situación del ransomware tras el desmantelamiento de Hive

Entre los ataques reconocidos de Hive encontramos algunos destacados como los que afectaron a Mediamarkt, la empresa energética Tata o la ONG Memorial Health System, sin olvidar que también estuvo involucrado en los ataques a Costa Rica. Según un informe del FBI publicado el pasado mes de noviembre, se calcula que los delincuentes habrían obtenido hasta esa fecha alrededor de 100 millones de dólares.

También debemos recordar la operación realizada a principios de verano del 2022 que permitió a la policía de Corea del Sur publicar un descifrador gratuito para las versiones 1 a 4 de este ransomware. Desde entonces, la actividad del grupo descendió considerablemente, tal y como podemos observar en el siguiente gráfico elaborado por Darkfeed, donde otras familias como BlackCat, Royal y, sobre todo, Lockbit, han cobrado mucho más protagonismo durante los últimos meses.

Precisamente, el grupo Lockbit, es uno de los más activos también en España, según se desprende del último informe de amenazas publicado por ESET el otoño pasado, superando por mucho a versiones antiguas de ransomware clásico y que demuestra que el ransomware operado por humanos está cobrando cada vez más protagonismo.

Tampoco debemos olvidar que lo que se ha conseguido es desmantelar la infraestructura de Hive, no detener a sus responsables, por lo que no sería de extrañar que estos reapareciesen (si no lo han hecho ya) con otra amenaza similar con diferente nombre.

Protegiéndonos frente al ransomware

Para evitar ser víctimas de este tipo de amenazas, debemos recordar que los vectores de ataque preferidos por los grupos de ransomware y sus afiliados siguen siendo los correos electrónicos de phishing, los ataques mediante el protocolo de escritorio remoto (RDP) aprovechando de credenciales débiles mediante ataques de fuerza bruta o credenciales robadas anteriormente usando infostealers y el aprovechamiento de vulnerabilidades sin parchear en las empresas atacadas.

Así mismo, se debe contar con la capacidad de detectar comportamientos anómalos dentro de una red como el cifrado de archivos no solicitado o conexiones remotas con servidores y centros de mando y control relacionados con actividades delictivas. Por supuesto, no debemos permitir que los delincuentes se aprovechen de posibles vulnerabilidades en nuestros sistemas debemos mantenerlos actualizados, junto con las aplicaciones que usemos en ellos, realizando auditorías periódicas para comprobar la seguridad de nuestra red y nuestra capacidad de respuesta ante incidentes.

Aunque el malware lleva tiempo virando hacia la extorsión usando la amenaza de publicar datos confidenciales que roban de las empresas, se sigue cifrando en la gran mayoría de ocasiones, los ficheros de las empresas atacadas, por lo que contar con una solución de copia de seguridad que pueda reestablecer rápidamente los ficheros afectados resulta esencial.

De la misma forma, la segmentación de redes y la autenticación de usuarios junto con la limitación de permisos ayudan a mitigar el alcance de un ataque de este tipo ya que impide que los atacantes se muevan libremente por la red corporativa, accediendo a información y recursos estratégicos, que pueden poner en jaque la continuidad del negocio.

Todas estas medidas de seguridad, junto con las soluciones de seguridad habituales componen varias capas de seguridad que actúan como defensa para prevenir y estos y otros tipos de ataque. Por eso es importante contar con un proveedor de seguridad de confianza que pueda ayudarnos a luchar contra las ciberamenazas y además sea capaz de proporcionar aquellos servicios que no podemos o no queremos tener internamente.

Conclusión

Las noticias relacionadas con el desmantelamiento de redes utilizadas para propagar amenazas o la detención de cibercriminales siempre son buenas. No obstante, aun queda mucho trabajo por hacer y el mundo del cibercrimen se adapta y evoluciona constantemente, por lo que debemos hacer lo mismo y estar preparado tanto frente a las amenazas más comunes como frente aquellas más avanzadas.

Josep Albors

Mastodon x Twitter: Las principales diferencias de ambas redes sociales