Na grootschalige operatie is HIVE-ransomware netwerk uitgeschakeld

Europol* heeft de Nederlandse, Duitse en Amerikaanse autoriteiten geholpen bij het uitschakelen van de infrastructuur van de HIVE-ransomware. Bij deze internationale operatie waren autoriteiten van 13* landen betrokken. De decryptiesleutels werden geïdentificeerd en bedrijven kregen weer toegang tot hun gegevens zonder de cybercriminelen losgeld te betalen.

De FBI liet vorig jaar november nog weten dat de criminelen achter de Hive-ransomware 100 miljoen dollar aan losgeld hadden ontvangen. Onder andere de MediaMarkt en een groot Amerikaans ziekenhuis werden slachtoffer van de Hive-ransomware.
 
Het HIVE ransomware netwerk stond aangemerkt als een grote bedreiging omdat het is gebruikt om de gegevens en computersystemen van grote IT- en oliemultinationals in de EU en de VS te compromitteren en te versleutelen. Sinds juni 2021 zijn meer dan 1.500 bedrijven uit meer dan 80 landen wereldwijd het slachtoffer geworden van HIVE-partners en hebben voor bijna 100 miljoen euro aan losgeld betaald. Filialen voerden de cyberaanvallen uit, maar de HIVE ransomware werd gemaakt, onderhouden en bijgewerkt door ontwikkelaars. 
 
Filialen gebruikten het dubbele afpersingsmodel van ‘ransomware-as-a-service’; eerst kopieerden zij gegevens en versleutelden vervolgens de bestanden. Vervolgens vroegen ze losgeld om de bestanden te ontsleutelen en de gestolen gegevens niet te publiceren op de Hive Leak Site. Als de slachtoffers betaalden, werd het losgeld verdeeld tussen partners (die 80 % ontvingen) en ontwikkelaars (die 20 % ontvingen). 
 
Ook andere gevaarlijke ransomware-groepen hebben dit zogenaamde ransomware-as-a-service (RaaS) model de afgelopen jaren gebruikt om aanvallen op hoog niveau uit te voeren. Daarbij is onder meer miljoenen euro's aan losgeld gevraagd om getroffen systemen te ontsleutelen, vaak bij bedrijven die kritieke infrastructuren onderhouden. 
 
Sinds juni 2021 hebben criminelen HIVE-ransomware gebruikt om een breed scala aan bedrijven en kritieke infrastructuursectoren aan te vallen, waaronder overheidsinstellingen, telecommunicatiebedrijven, productiebedrijven, informatietechnologie, gezondheidszorg en volksgezondheid. Een grote aanval op een ziekenhuis richtten HIVE-leden zich op een ziekenhuis had grote gevolgen voor de manier waarop het ziekenhuis kon omgaan met de COVID-19 pandemie. Door de aanval moest dit ziekenhuis zijn toevlucht nemen tot analoge methoden om bestaande patiënten te behandelen, en kon het geen nieuwe patiënten aannemen.  
 
De aangesloten bedrijven vielen op verschillende manieren aan. Sommige HIVE-actoren kregen toegang tot de netwerken van de slachtoffers door gebruik te maken van single factor logins via Remote Desktop Protocol, virtuele particuliere netwerken en andere protocollen voor netwerkverbindingen op afstand. In andere gevallen omzeilden HIVE-actoren multifactorauthenticatie en kregen ze toegang door kwetsbaarheden uit te buiten. Hierdoor konden kwaadwillende cybercriminelen inloggen zonder te vragen naar de tweede authenticatiefactor van de gebruiker door de hoofdletter van de gebruikersnaam te veranderen. Sommige HIVE-actoren kregen ook aanvankelijk toegang tot de netwerken van de slachtoffers door phishing-e-mails met schadelijke bijlagen te verspreiden en door misbruik te maken van de kwetsbaarheden van de besturingssystemen van de aangevallen apparaten. 
 
Ongeveer 120 miljoen euro bespaard dankzij inspanningen om de schade te beperken
Europol stroomlijnde de inspanningen om slachtoffers te beperken met andere EU-landen, waardoor werd voorkomen dat particuliere bedrijven het slachtoffer werden van de HIVE-ransomware. Rechtshandhavingsinstanties verstrekten de decryptiesleutel aan bedrijven die waren gecompromitteerd om hen te helpen hun gegevens te ontsleutelen zonder het losgeld te betalen. Deze inspanning heeft de betaling van meer dan 130 miljoen USD of het equivalent van ongeveer 120 miljoen EUR aan losgeld voorkomen.
 
Europol faciliteerde de informatie-uitwisseling, ondersteunde de coördinatie van de operatie en financierde operationele bijeenkomsten in Portugal en Nederland. Europol bood ook analytische ondersteuning door de beschikbare gegevens te koppelen aan diverse strafzaken binnen en buiten de EU, en ondersteunde het onderzoek door middel van cryptocurrency, malware, decodering en forensische analyse. 
 
Tijdens de actie zette Europol vier deskundigen in om de activiteiten ter plaatse te helpen coördineren. Europol ondersteunde de betrokken instanties door de analyse van cryptocurrency en malware te coördineren, operationele informatie te vergelijken met de databases van Europol en verdere operationele analyse en forensische ondersteuning te bieden. Verwacht wordt dat de analyse van deze gegevens en andere gerelateerde zaken tot verdere onderzoeksactiviteiten zal leiden. Ook de Joint Cybercrime Action Taskforce (J-CAT) van Europol ondersteunde de operatie. Dit permanente operationele team bestaat uit verbindingsofficieren voor cybercriminaliteit uit verschillende landen die werken aan opvallende onderzoeken naar cybercriminaliteit. 
 
*Het Europol hoofdkantoor is gevestigd in Den Haag en ondersteunt de 27 EU-lidstaten in hun strijd tegen terrorisme, cybercriminaliteit en andere zware en georganiseerde misdaad. Europol werkt samen met veel partnerlanden buiten de EU en internationale organisaties. Van zijn verschillende dreigingsevaluaties tot zijn inlichtingenvergaring en operationele activiteiten beschikt Europol over de instrumenten en middelen die nodig zijn om zijn steentje bij te dragen aan een veiliger Europa.