Mar. Set 26th, 2023
    Hive ransomware

    L’infrastruttura associata al ransomware-as-a-service (RaaS) Hive è stata sequestrata nell’ambito di un’azione coordinata di contrasto che ha coinvolto 13 Paesi. L’Italia non è fra questi.

    “Le forze dell’ordine hanno identificato le chiavi di decrittazione e le hanno condivise con molte delle vittime, aiutandole a riavere accesso ai loro dati senza pagare i criminali informatici”, ha dichiarato Europol in un comunicato.

    Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha dichiarato che il Federal Bureau of Investigation (FBI) è penetrato nelle reti di Hive nel luglio 2022 e ha catturato oltre 300 chiavi di decrittazione che sono state poi consegnate alle aziende compromesse dal gruppo, facendo risparmiare 130 milioni di dollari di riscatto.

    L’FBI ha inoltre distribuito più di 1000 chiavi di decrittazione aggiuntive alle “vecchie” vittime di Hive, ha aggiunto il DoJ.

    Hive, nato nel giugno 2021, è stato un gruppo prolifico di hacker malintenzioanti, che ha lanciato attacchi contro 1500 organizzazioni in non meno di 80 Paesi e ha realizzato 100 milioni di dollari di profitti illeciti.

    Le entità prese di mira coprono un’ampia gamma di settori verticali, tra cui strutture governative, comunicazioni, asset critici, tecnologia dell’informazione e sanità.

    Secondo le statistiche raccolte da MalwareBytes, Hive ha condotto 11 ondate d’attacco nel novembre 2022, posizionandosi al sesto posto dopo Royal (45), LockBit (34), ALPHV (19), BianLian (16) e LV (16).

    “Alcuni componenti di Hive hanno ottenuto l’accesso alle reti delle vittime utilizzando login a singolo fattore tramite Remote Desktop Protocol, reti private virtuali e altri protocolli di connessione di rete remota”, ha spiegato Europol.

    “In altri casi, i threat actor di Hive hanno aggirato l’autenticazione a più fattori e hanno ottenuto l’accesso sfruttando le vulnerabilità. Questo ha permesso ai criminali informatici di accedere senza che venisse richiesto il secondo fattore di autenticazione dell’utente, cambiando il nome utente”.

    L’operazione internazionale è stata condotta dalle autorità di Canada, Francia, Germania, Irlanda, Lituania, Paesi Bassi, Norvegia, Portogallo, Romania, Spagna, Svezia, Regno Unito e Stati Uniti. Tra i paesi coinvolti non figura l’Italia con le sue forze di polizia.