Buongiorno cari lettori, oggi vi andremo a parlare dell’FBI che ha hackerato degli hacker.

Il Dipartimento di Giustizia ha annunciato questa settimana che gli agenti dell’FBI hanno interrotto con successo Hive, un famigerato gruppo di ransomware, e hanno impedito campagne di riscatto per un valore di 130 milioni di dollari che gli obiettivi non devono più considerare di pagare. Pur affermando che il gruppo Hive è stato responsabile di aver preso di mira oltre 1.500 vittime in oltre 80 paesi in tutto il mondo, il dipartimento ora rivela di essersi infiltrato nella rete del gruppo per mesi prima di lavorare con i funzionari tedeschi e olandesi per chiudere i server e i siti Web di Hive questa settimana.

“In poche parole, usando mezzi legali, abbiamo violato gli hacker”, ha osservato il vice procuratore generale Lisa Monaco durante una conferenza stampa .

L’FBI afferma che hackerando di nascosto i server Hive, è stato in grado di carpire silenziosamente oltre 300 chiavi di decrittazione e restituirle alle vittime i cui dati erano stati bloccati dal gruppo. Il procuratore generale degli Stati Uniti Merrick Garland ha affermato nella sua dichiarazione che negli ultimi mesi l’FBI ha utilizzato quelle chiavi di decrittazione per sbloccare un distretto scolastico del Texas che deve affrontare un riscatto di $ 5 milioni, un ospedale della Louisiana a cui erano stati chiesti $ 3 milioni e un servizio di ristorazione che ha dovuto affrontare un riscatto di $ 10 milioni.

Abbiamo ribaltato la situazione su Hive e smantellato il loro modello di business”, ha affermato Monaco. Hive era stato considerato una delle prime cinque minacce ransomware dall’FBI. Secondo il Dipartimento di Giustizia, Hive ha ricevuto oltre 100 milioni di dollari di riscatto dalle sue vittime dal giugno 2021.

Il modello di “ransomware-as-a-service (RaaS)” di Hive consiste nel creare e vendere ransomware, quindi reclutare “affiliati” per uscire e distribuirlo, con gli amministratori di Hive che prendono una riduzione del 20% di qualsiasi ricavato e pubblicano i dati rubati su un sito “HiveLeaks” se qualcuno si rifiutava di pagare. Gli affiliati, secondo la US Cybersecurity and Infrastructure Security Agency (CISA), utilizzano metodi come il phishing via e-mail, sfruttando le vulnerabilità dell’autenticazione FortiToken e ottenendo l’accesso alle VPN aziendali e ai desktop remoti (utilizzando RDP) che sono protetti solo con accessi a fattore singolo.

Un avviso CISA di novembre spiega come gli attacchi prendono di mira aziende e organizzazioni che gestiscono i propri server Microsoft Exchange. Il codice fornito ai loro affiliati sfrutta exploit noti come CVE-2021-31207 , che, nonostante siano stati patchati dal 2021, spesso rimangono vulnerabili se non sono state applicate le opportune mitigazioni.

Una volta entrati, il loro schema è quello di utilizzare i protocolli di gestione della rete dell’organizzazione per chiudere qualsiasi software di sicurezza, eliminare i registri, crittografare i dati e, naturalmente, lasciare dietro di sé una richiesta di riscatto HOW_TO_DECRYPT.txt nelle directory crittografate che collega le vittime a un pannello di chat dal vivo per negoziare le richieste di riscatto.

Hive è il più grande gruppo di ransomware che i federali hanno smantellato dai tempi di REvil nel 2021 , responsabile della fuga di schemi di MacBook da un fornitore Apple e dal più grande fornitore di carne al mondo. All’inizio di quell’anno, gruppi come DarkSide se ne andarono con successo con un pagamento di $ 4,4 milioni dopo essere penetrati nei sistemi di Colonial Pipeline in un incidente che fece salire alle stelle i prezzi nazionali del gas.

“Quando una vittima segnala di essere stata hackerata, può fare la differenza nel recupero di fondi rubati o nell’ottenere chiavi di decrittazione”, ha affermato Monaco.