Il gruppo responsabile di attacchi ransomware Hive non era un’associazione a delinquere come le altre. Formato da un conglomerato di squadre di hacker d’élite il gruppo operava come una società madre, concedendo in licenza il suo ransomware a filiali in tutto il mondo. L’operazione era professionale e l’interfaccia del ransomware era facile da usare, con tanto di login con nome utente e password per le vittime e un’opzione di chat dal vivo con gli hacker. Avevano persino un logo.
I crimini
Il gruppo ha preso di mira 1.500 entità in 80 Paesi, tra cui scuole e società finanziarie. Gli hacker si sono introdotti nelle reti tramite phishing, reti private virtuali (VPN) e altri metodi, bloccando i dati di ciascuna organizzazione colpita e minacciando di renderli pubblici se le vittime non avessero inviato un riscatto in criptovaluta. Durante la pandemia, i bersagli preferiti dagli hacker furono le strutture sanitarie. La maggior parte di esse erano talmente sovraccariche di pazienti, che non avevano altra scelta se non quella di pagare. Un ospedale, in particolare, ha dovuto trattare i pazienti con metodi analogici e non ha potuto accettare nuovi pazienti a causa di un attacco ransomware di Hive, ha rivelato Dipartimento di Giustizia statutintense. A partire dal giugno 2021, il gruppo ha estorto riscatti per un totale di 100 milioni di dollari, una cifra che avrebbe potuto essere molto più alta se non fosse stato per l‘FBI, la quale nel luglio 2022 si è infiltrata nelle reti informatiche di Hive, curiosando per sette mesi senza essere individuata mentre aiutava le vittime e raccoglieva prove.
L’operazione dell’FBI
Gli agenti del Tampa Field Office dell’FBI hanno agito come una filiale della rete Hive, con accesso completo. Nel frattempo, hanno generato chiavi di decrittazione e le hanno fornite alle vittime per recuperare i loro dati. Complessivamente, in quei sette mesi hanno fornito circa 300 chiavi di decrittazione alle vittime. “Quello che ha fatto la squadra dell’FBI a Tampa è stato essenzialmente usare lo stesso modello utilizzato dai criminali”- ha dichiarato Bryan Smith, capo della sezione Cyber Criminal Operations dell’FBI -“Abbiamo ottenuto l’accesso alla rete, abbiamo dato un’occhiata in giro, abbiamo visto cosa potevamo fare e poi abbiamo operato come loro. Abbiamo creato le chiavi di decrittazione e le abbiamo consegnate alle vittime. La differenza è che lo abbiamo fatto grazie all’autorità legale conferitaci da un tribunale”. Mentre gli agenti erano sotto copertura nella rete di Hive, gli hacker hanno continuato a violare la rete. Tuttavia, poiché gli agenti dell’FBI erano già all’interno, sono stati in grado di evitare che le possibili vittime perdessero l’accesso ai loro file prima che fosse troppo tardi, ha dichiarato Mike McPherson, l’agente speciale responsabile dell’ufficio di Tampa dell’FBI. Prevenendo possibili attacchi, l’FBI e il DOJ stimano di aver risparmiato alle vittime circa 130 milioni di dollari in pagamenti di riscatti. A gennaio, il Dipartimento di Giustizia ha annunciato di aver chiuso Hive coordinandosi con le forze dell’ordine in Germania e nei Paesi Bassi per sequestrare i server del gruppo.
“Il crimine informatico è una minaccia in continua evoluzione”, ha dichiarato il procuratore generale Merrick Garland in un comunicato. “Ma come ho già detto, il Dipartimento di Giustizia non risparmierà alcuna risorsa per identificare e consegnare alla giustizia chiunque, ovunque, prenda di mira gli Stati Uniti con un attacco ransomware”.