Un’azione congiuta dell’FBI e dell’EUROPOL ha consentito alle autorità di prendere il possesso del data leak website della nota cyber gang Hive, per sequestrarlo e porre fine alle operazioni criminali.
L’operazione è un successo di coordinazione tra forze dell’ordine di Paesi diversi. “Il primo aspetto che emerge dalla vicenda è l’efficacia della collaborazione internazionale in una strategia volta a smantellare il fenomeno estorsivo basato sul modello Ransomware-as-a-Service (RaaS)”, ci dice Pierluigi Paganini, esperto di sicurezza informatica e CEO di Cybhorus. “Le investigazioni congiunte, gli arresti e i sequestri operati dalle forze dell’ordine, oltre alle sanzioni, stanno sicuramente avendo un importante impatto sulle gang criminali”.
“Il modello RaaS è per definizione un modello vincente che coinvolge molteplici entità nell’attività criminale, concepito per attirare gruppi criminali che intendono avvalersi dei servizi delle principali gang ransomware”, sottolinea ancora Paganini. “Di fatto, è un modello più “aperto” rispetto a quello adottato in altre pratiche criminali e quindi offre una maggiore superficie di attacco alle forze dell’ordine. Gli agenti di polizia possono concentrare gli sforzi per infiltrare uno o più punti di queste reti di affiliazione e fare breccia nel cuore delle stesse. Fondamentale è l’attività di intelligence operata dalle forze dell’ordine e le informazioni che derivano da precedenti sequestri ed arresti”.
Il pericolo è che i criminali cambino nome e ripresentino le proprie attività con altri nuovi strumenti.
Indice degli argomenti
Hiveleak, il sito Web posto sotto sequestro
Da quello che si sa finora, le autorità di 13 paesi sono state in grado di infiltrarsi nell’infrastruttura di Hive già dal mese di luglio 2022 e monitorare l’attività per sei mesi. L’operazione messa in atto dai servizi di intelligence americani ha permesso di ricevere in anticipo informazioni sugli attacchi e avvertire le potenziali vittime, oltre a intercettare le chiavi di decrittazione, impedendo il pagamento di somme per riscatto del valore di oltre 130 milioni di dollari.
Sono state così fornite più di 300 chiavi di decrittazione alle vittime degli attacchi Hive. “Che un criminale prima o poi commette un passo falso è probabile e se gli inquirenti sono ben attenti e “sul pezzo” lo rileveranno e ne approfitteranno per deanonimizzare la sua identità e/o infiltrarsi nei suoi sistemi”, dice a CyberSecurity360 Paolo Dal Checco consulente informatico forense.
Le forze di sicurezza statunitensi sono state in grado di identificare e quindi accedere a due server privati dedicati e uno virtuale in California, utilizzati in hosting con indirizzi e-mail tracciati come di proprietà di Hive. Successivamente, anche in Olanda, dove si trovavano altri due server dedicati di backup.
Da giugno 2021, il gruppo di ransomware Hive ha preso di mira più di 1.500 vittime in tutto il mondo e ha ricevuto oltre 100 milioni di dollari in pagamenti di riscatto, affermandosi come una banda criminale decisamente pericolosa per enti e organizzazioni. Ha puntato per gran parte della sua esistenza al settore sanitario, mettendo in difficoltà strutture ospedaliere, ma anche scuole e dipartimenti accademici.
Un’operazione congiunta, dunque, che ha fatto guadagnare l’accesso fisico alle macchine, permettendo così di prendere il controllo dei principali DLS, del sito di chat e dei pannelli web degli operatori, ottenendo, oltre alle chiavi, i valori hash dei file malware, informazioni su 250 operatori Hive e delle loro 1.500 vittime.
Il Dipartimento di Stato ha subito reagito al buon esito dell’operazione, offrendo una nuova taglia fino a 10 milioni di dollari per informazioni dirette sul gruppo oppure sul coinvolgimento di Hive con altre cyber gang già attenzionate.
In rete si stanno ora discutendo varie versioni del compromesso che ha portato alla compromissione di Hive: dall’uso dello 0-day della NSA a un insider all’interno di una banda criminale infiltrato che lavora per i servizi statunitensi, ma non c’è certezza di come sia avvenuta nel dettaglio l’operazione di controffensiva.
Le conseguenze dell’azione di FBI su Hive
Anche altri gruppi criminali già noti hanno preso parte ai commenti sull’operazione e, ciascuno tramite i propri canali, hanno lasciato o lasciato intendere alcune indiscrezioni sulla propria posizione al riguardo.
ALPHV, per esempio, afferma che “questo trucco non funzionerà con loro”, sottolineando un sistema di sicurezza affidabile (capace di nascondere l’identità dei criminali), mentre BianLian si rammarica e prevede che il gruppo tornerà attivo sotto un nuovo brand.
Lockbit, un gruppo tra i più prolifici si è invece rallegrato per l’eliminazione di un concorrente diretto.
Dall’analisi invece del modus operandi delle bande criminali ransomware, l’ipotesi del rebranding è quella tra le più accreditate appunto e gli esperti si aspettano un ritorno del gruppo (inteso come membri operatori malevoli), identificato sotto nuovo nome, o come spesso accade, un accorpamento di forze verso altri gruppi oggi operativi.
“È presumibile che le Autorità abbiano avuto accesso anche a comunicazioni tra i membri della gang e gli affiliati, oltre a dati potenzialmente utili per identificare i criminali, quindi non escludo che in futuro usciranno notizie di arresti”, conclude Dal Checco.
Il pericolo ora, per organizzazioni private ed enti, è quello di dover convivere presto con una potenzialmente nuova realtà criminale, magari dal software malevolo ancora sconosciuto e dunque pericoloso proprio per l’efficace evasione delle protezioni automatiche, almeno nel primo periodo.
“Operazioni come questa avranno in primis un impatto importante sulla rete degli affiliati al popolare gruppo Hive”, continua Paganini, che conclude, “altra lezione che dobbiamo tenere bene a mente e che sebbene si registrino frequenti successi, questi gruppi continuano ad essere attivi. Lo stesso sequestro operato non rappresenta necessariamente la conclusione delle attività del gruppo Hive. Al momento non sono stati annunciati arresti, ed è lecito attendersi una ripresa della attività criminale del gruppo o dei suoi componenti, eventualmente sotto altri brand, ma pur sempre pericolosi come il gruppo principale”.
Cosa impariamo dallo smantellamento di Hive
Ultima lezione appresa è senza dubbio la necessità di non piegarsi ai ricatti di queste gang criminali che si sostengono proprio grazie al pagamento dei riscatti. Il sistema va indebolito rendendolo poco redditizio per le organizzazioni criminali, che inevitabilmente cercheranno nuove strade per massimizzare i propri sforzi”.
È notizia di oggi, a distanza dunque di poche ore dall’annuncio del Dipartimento di Giustizia americano su questa nuova operazione eseguita con successo, quella secondo cui il governo russo abbia deciso di bloccare tre nuovi siti Web ufficiali di istituzioni di sicurezza americane: CIA.gov, FBI.gov e rewardsforjustice.net. Sono sconosciute le motivazioni di questo blocco e del perché il provvedimento sia stato preso proprio recante la data del 25 gennaio appena passato, tuttavia il terzo sito bloccato è proprio quello che promuove le campagne di bounty (ricompensa), a seguito di collaborazioni informative con la giustizia americana.
La concomitanza dei due eventi fa pensare che l’inserimento di questi siti web ufficiali americani nella lista delle informazioni proibite per lo Stato russo possa avere legami con l’operazione. Al momento non ci sono conferme ufficiali e possiamo solo darne nota. Torneremo sulla notizia qualora ci fossero ulteriori aggiornamenti.
