EE. UU. dice que ‘hackeó a los piratas informáticos' para acabar con una pandilla de ransomware, ayudando a 300 víctimas

El FBI reveló el jueves que había pirateado e interrumpido, en secreto, a una banda de ransomware llamada Hive, una maniobra que permitió a la oficina impedir que el grupo recaudara más de 130 millones de dólares en demandas de ransomware de más de 300 víctimas.

En una conferencia de prensa, el fiscal general de los EE. UU. Merrick Garland, el director del FBI Christopher Wray y la fiscal general adjunta de los EE. UU. Lisa Monaco dijeron que los piratas informáticos del gobierno irrumpieron en la red de Hive y pusieron a la pandilla bajo vigilancia, robando subrepticiamente las claves digitales que el grupo usó para desbloquear los datos de las víctimas.

Luego pudieron alertar a las víctimas con anticipación para que pudieran tomar medidas para proteger sus sistemas antes de que Hive exigiera los pagos.

«Usando medios legales, pirateamos a los piratas informáticos», dijo Mónaco a los periodistas. «Le dimos la vuelta a Hive».

La noticia se filtró por primera vez el jueves por la mañana cuando el sitio web de Hive fue reemplazado por un mensaje intermitente que decía: «La Oficina Federal de Investigaciones confiscó este sitio como parte de una acción coordinada de aplicación de la ley tomada contra Hive».

Los servidores de Hive también fueron incautados por la Policía Criminal Federal de Alemania y la Unidad Nacional de Delitos de Alta Tecnología de los Países Bajos.

«La cooperación intensiva a través de las fronteras nacionales y los continentes, caracterizada por la confianza mutua, es la clave para combatir eficazmente los delitos cibernéticos graves», dijo el comisionado de policía alemán Udo Vogel en un comunicado de la policía y los fiscales del estado de Baden-Wurtemberg, que ayudaron en la investigación.

El desmonte de Hive es distinto de algunos de los otros casos de ransomware de alto perfil que el Departamento de Justicia de EE. UU. ha anunciado en los últimos años, como un ataque cibernético en 2021 contra Colonial Pipeline Co.

En ese caso, el Departamento de Justicia confiscó unos 2,3 millones de dólares en rescate en criptomonedas después de que la empresa ya había pagado a los piratas informáticos.

Aquí no hubo incautaciones porque los investigadores intervinieron antes de que Hive exigiera los pagos. La infiltración encubierta, que comenzó en julio de 2022, no fue detectada por la pandilla hasta ahora.

Hive fue uno de los más prolíficos entre una amplia gama de grupos de ciberdelincuentes que extorsionan a las empresas internacionales cifrando sus datos y exigiendo a cambio pagos masivos en criptomonedas.

El Departamento de Justicia dijo que, a lo largo de los años, Hive se ha centrado en más de 1500 víctimas en 80 países diferentes y ha recaudado más de 100 millones de dólares en pagos de ransomware.

Aunque no se anunciaron arrestos el miércoles, Garland dijo que la investigación estaba en curso y un funcionario del departamento les dijo a los periodistas que «estén atentos».

Garland dijo que la operación del FBI ayudó a una amplia gama de víctimas, incluido un distrito escolar de Texas.

«La oficina proporcionó claves de descifrado al distrito escolar, evitando que hiciera un pago de rescate de USD cinco millones», dijo. Mientras tanto, un hospital de Luisiana se salvó de pagar tres millones.

Hive era una organización de ransomware como servicio (a veces abreviada como RaaS), lo que significa que distribuyó aspectos de su ola de piratería a afiliados a cambio de una parte de las ganancias.

El investigador canadiense Brett Callow, de la empresa de ciberseguridad Emsisoft, dijo en un correo electrónico que era «uno de los grupos más activos, si no el más activo».

La aplicación de la ley internacional ha luchado durante años para vencer el flagelo del ransomware, que periódicamente ha paralizado empresas, organismos gubernamentales y, cada vez más, infraestructura crítica.

A falta de arrestos, es probable que los piratas informáticos de Hive pronto «establezcan una tienda bajo una marca diferente o sean reclutados en otros grupos RaaS», dijo Jim Simpson, director de inteligencia de amenazas de la firma británica Searchlight Cyber.

Simpson recibió con agrado la medida y dijo que «de cualquier manera, la operación ha impuesto un costo significativo en las actividades de Hive».