Destructurarea unei grupări ransomware care a provocat un prejudiciu de peste 100.000.000 de euro

Poliţia Română, alături de DIICOT, Europol, autorităţile germane, olandeze şi cele ale Statelor Unite, a contribuit la destructurarea grupării ransomware HIVE, care, din luna iunie a anului 2021 şi până în prezent, a atacat peste 1.500 de companii din peste 80 de ţări, provocând un prejudiciu de peste 100.000.000 de euro.

"În ultimul an, HIVE ransomware a fost identificat ca fiind o ameninţare majoră, deoarece a fost folosită pentru a compromite şi cripta date şi sisteme de calculatoare ale unor companii IT mari şi multinaţionale petroliere, în Uniunea Europeană şi Statele Unite ale Americii", informează un comunicat al Inspectoratului General al Poliţiei Române.

În urma acţiunii poliţiei, au fost identificate cheile de decriptare şi au fost puse la dispoziţia mai multor victime, fapt ce le-a permis acestora să redobândească accesul la datele lor, fără a-i plăti pe atacatori.

În cadrul mecanismului infracţional, persoanele afiliate executau atacurile cibernetice, iar software-ul HIVE ransomware a fost creat, menţinut şi actualizat de dezvoltatori.

Potrivit anchetatorilor, afiliaţii foloseau modelul de şantajare "Ransomware as a service". Aceştia ar fi copiat datele şi le-ar fi criptat, iar apoi ar fi cerut o răscumpărare pentru a decripta fişierele şi pentru a nu publica datele furate pe un site pentru scurgeri de informaţii. După ce persoanele vătămate plăteau, răscumpărarea ar fi fost împărţită între afiliaţi, care păstrau 80%, şi dezvoltatori, care primeau restul de 20%.

"În perioada iunie 2021 - noiembrie 2022, persoanele bănuite au folosit software-ul de răscumpărare HIVE pentru a ţinti o gamă largă de întreprinderi şi sectoare infrastructurale, precum instituţii ale statului, companii de telecomunicaţii, de producţie, de tehnologie a informaţiei, de servicii de îngrijire medical şi instituţii de sănătate publică. În urma unui atac grav, membrii afiliaţi HIVE au vizat un spital, fapt care a avut consecinţe severe în privinţa modului în care spitalul a putut să gestioneze pandemia de COVID-19. Din cauza atacului, spitalul a trebuit să recurgă la metode clasice de a trata pacienţii existenţi şi nu a putut primi pacienţi noi", arată IGPR.

Persoanele bănuite ar fi atacat companiile în moduri diferite. Unii membri ar fi intrat în posesia datelor persoanelor vătămate prin distribuirea de e-mailuri de tip "phishing", exploatând vulnerabilităţile sistemelor de operare ale dispozitivelor atacate.

Europol a eficientizat eforturile de atenuare a victimizării, împreună cu alte state ale Uniunii Europene, reuşind, astfel, să oprească mai multe companii din a deveni victime ale software-ului HIVE. Autorităţile judiciare au pus la dispoziţia companiilor cheile de decriptare, pentru ca acestea să nu mai plătească răscumpărarea. Astfel, au fost prevenite plăţi de răscumpărare în valoare de peste 120.000.000 de euro.

Pe teritoriul României, grupul de ransomware HIVE a infectat infrastructura IT a mai multor companii medii şi mari din diferite domenii de activitate, chiar şi din categoria serviciilor esenţiale, perturbând funcţionarea sistemelor informatice şi desfăşurarea activităţii acestora.

Suportul de specialitate a fost asigurat de către Direcţia Operaţiuni Speciale a Poliţiei Române şi Biroul Tehnic şi de Criminalistică din cadrul DIICOT. Totodată, acţiunea a beneficiat de sprijinul jandarmilor din cadrul Brigăzii Speciale de Intervenţie a Jandarmeriei.