O grupo de ransomware Hive está no radar das autoridades dos EUA devido às suas operações nefastas. O grupo atingiu mais de 1.500 vítimas em mais de 80 países, extorquindo centenas de milhões de dólares em pagamentos de resgate. Em um anúncio recente, o Departamento de Justiça dos EUA (DOJ) anunciou que eles conseguiram se infiltrar e interromper as operações do grupo.
Hive Ransomware Group e seu modus operandi
O Hive, como muitos grupos de ransomware, opera um modelo de ransomware como serviço, com foco em entidades de saúde e saúde pública. Nesse modelo, os administradores do grupo criam cepas de ransomware fáceis de usar e recrutam afiliados para realizar ataques. Esses afiliados usam o software para roubar dados das vítimas e criptografar seus sistemas, exigindo um resgate em troca da chave de descriptografia e a promessa de não publicar os dados roubados. Se a vítima pagar o resgate, o administrador e o afiliado dividem o resgate em 80/20. Aqueles que se recusam, no entanto, encontram seus dados vazados na web.
O Memorial Health System, com sede em Illinois, foi o primeiro alvo do grupo em agosto de 2021, seguido pelo serviço de saúde pública da Costa Rica e pela Empress EMS, prestadora de serviços de emergência e ambulância com sede em Nova York. O grupo também visou empresas como a Tata Power, uma empresa de geração de energia na Índia, em outubro.
Ação policial coordenada contra Hive
Trabalhando ao lado das autoridades alemãs e holandesas, o FBI realizou a operação apenas alguns meses depois que a unidade de segurança cibernética do governo federal, CISA, soou o alarme sobre os esforços de extorsão em andamento da Hive. O FBI confirmou que monitora a rede de computadores do Hive desde julho de 2022, permitindo que agentes federais capturem e ofereçam as chaves de descriptografia do Hive às vítimas em todo o mundo.
De acordo com o procurador-geral dos EUA, Merrick Garland, desde a operação, o DOJ ajudou pelo menos 336 vítimas do ransomware Hive e evitou mais de US$ 130 milhões em pagamentos de resgate. Além disso, o DOJ também interrompeu um ataque de ransomware Hive em um hospital da Louisiana, impedindo o pagamento de um resgate de US$ 3 milhões e outro ataque a uma escola no Texas.
Agora, a agência começou a desmantelar a infraestrutura de front-end e back-end da Hive nos Estados Unidos e no exterior, o que incluiu a apreensão de dois dos servidores back-end da Hive localizados em Los Angeles. Embora o DOJ tenha interrompido as operações do grupo, ele ainda está investigando o grupo e ainda não fez nenhuma prisão.