Hive, uno dei ransomware as-a-Service più pericolosi e prolifici, non dovrà fare più paura. La gang cybercriminale autrice del programma malevolo è stata smantellata da un’azione coordinata dell’Fbi, dei servizi segreti statunitensi (United States Secret Service), dell’Europol e di numerose forze di polizia e agenzie di cybersicurezza europee, tra cui il Federal Criminal Police Office tedesco. I Paesi coinvolti sono Stati Uniti, Canada, Francia, Germania, Olanda, Irlanda, Lituania, Norvegia, Svezia, Portogallo e Regno Unito.
In conferenza stampa il procuratore generale degli Stati Uniti, Merrick Garland, la sua vice Lisa Monaco e il direttore dell’Fbi, Christopher Wray, hanno spiegato che gli “hacker buoni” al servizio del governo lo scorso luglio sono riusciti a entrare nella rete di Hive per spiarne le attività. Per mesi hanno raccolto le chiavi crittografiche usate dal gruppo per sbloccare i dati cifrati in seguito a più di trecento attacchi ransomware condotti da luglio 2022 a oggi.
Le chiavi digitali sono state condivise con le aziende e gli utenti colpiti, evitando loro di pagare, complessivamente, oltre 130 milioni di dollari di richieste di riscatto. Inoltre l’Fbi ha comunicato oltre mille chiavi crittografiche ad altrettante vittime di attacchi meno recenti.
Per l’azione finale di smantellamento, il Federal Bureau si è coordinato con il Bundeskriminalamt (ufficio federale della polizia criminale tedesco), con il quartier generale della polizia di Reutlingen-CID Esslingen (sempre in Germania), con l’Unità di Crimine High Tech olandese: l’Fbi ha preso il controllo dei server usati dai membri del gruppo cybercriminale per comunicare tra loro. “Utilizzando mezzi legali, abbiamo hackerato gli hacker”, ha detto la viceprocuratrice generale degli Stati Uniti, Lisa Monaco. “Ci siamo presi una rivincita su Hive”.
Chi è (o era) Hive
Che cosa ha fatto Hive per meritare tanta attenzione? Non poco. Gli attacchi ransomware di massa sono cominciati nel giugno del 2021, colpendo oltre 1.500 vittime nel mondo e fruttando 100 milioni di dollari di incasso grazie ai pagamenti dei riscatti (questi i dati diffusi dal Dipartimento di Giustizia). Ma Hive non ha causato soltanto danni monetari: nel 2020, nel pieno della pandemia di covid-19, ha bloccato i sistemi informatici di un ospedale, che non ha potuto accettare nuovi pazienti ed è tornato ai metodi cartacei per quelli già in carico.
Hive rientra nel modello di distribuzione cybercriminale battezzato malware as-a-Service, e più precisamente ransomware-as-a-Service (RaaS), tendenza emersa già nel 2021 e consolidatasi l’anno seguente. Più che un semplice modello di distribuzione, il RaaS è un modello di business, in cui esistono ruoli definiti e molteplici fonti di monetizzazione.
Nel RaaS, gli sviluppatori o amministratori di un programma malevolo creano una piattaforma cloud con cui poterlo gestire e distribuire ad altri, solitamente pubblicizzandosi nel Dark Web. Le offerte propongono acquisti singoli, quote di iscrizione o abbonamenti, e si paga in criptovaluta. Chi compra ottiene un ransomware già pronto all’uso o personalizzabile.
Gli attori cybercriminali che stanno “a valle” individuano le vittime e sferrano gli attacchi usando Si crea dunque una sorta di filiera di criminalità digitale, con produttori, distributori e utilizzatori dei ransomware, e i proventi vengono poi condivisi tra le parti in base alle percentuali concordate. Nel caso specifico di Hive, gli amministratori trattenevano il 20% e il restante 80% andava agli affiliati.
A detta della Cybersecurity and Infrastructure Security Agency statunitense (Cisa), gli affiliati di Hive ottenevano accesso alle reti delle vittime con svariati metodi, per esempio eseguendo un login su Remote Desktop Protocol o reti Vpn, oppure sfruttando le vulnerabilità di un’app generatrice di token o, ancora, con il classico phishing tramite posta elettronica.
Questo ransomware è stato doppiamente pericoloso perché, come spiegato dal Dipartimento di Giustizia, seguiva il metodo della doppia estorsione: prima di crittografare i dati del sistema target, i criminali di secondo livello rubavano i dati sensibili trovati. Il ricatto era duplice, perché si chiedeva un pagamento per annullare la crittografia e un altro per evitare la pubblicazione o rivendita dei dati sensibili sottratti. Per Hive è esistito un sito di leak specifico in cui venivano pubblicati i dati di chi si rifiutava di pagare.