Grupare de hackeri care a creat un prejudiciu de 100 de milioane de euro a fost destructurata de politistii romani in colaborare cu EUROPOL

Poliţia Română, alături de DIICOT, Europol, autorităţile germane, olandeze şi cele ale Statelor Unite, a contribuit la destructurarea grupării ransomware HIVE, care, din luna iunie a anului 2021 şi până în prezent, a atacat peste 1.500 de companii din peste 80 de ţări, provocând un prejudiciu de peste 100.000.000 de euro.

„În ultimul an, HIVE ransomware a fost identificat ca fiind o ameninţare majoră, deoarece a fost folosită pentru a compromite şi cripta date şi sisteme de calculatoare ale unor companii IT mari şi multinaţionale petroliere, în Uniunea Europeană şi Statele Unite ale Americii”, informează un comunicat al Inspectoratului General al Poliţiei Române (IGPR) transmis, joi, AGERPRES.

În urma acţiunii poliţiei, au fost identificate cheile de decriptare şi au fost puse la dispoziţia mai multor victime, fapt ce le-a permis acestora să redobândească accesul la datele lor, fără a-i plăti pe atacatori.

În cadrul mecanismului infracţional, persoanele afiliate executau atacurile cibernetice, iar software-ul HIVE ransomware a fost creat, menţinut şi actualizat de dezvoltatori.

Potrivit anchetatorilor, afiliaţii foloseau modelul de şantajare „Ransomware as a service”. Aceştia ar fi copiat datele şi le-ar fi criptat, iar apoi ar fi cerut o răscumpărare pentru a decripta fişierele şi pentru a nu publica datele furate pe un site pentru scurgeri de informaţii. După ce persoanele vătămate plăteau, răscumpărarea ar fi fost împărţită între afiliaţi, care păstrau 80%, şi dezvoltatori, care primeau restul de 20%.

În ultimii ani, au existat şi alte grupări care foloseau metoda „Ransomware as a service”, pentru a desfăşura atacuri cibernetice la nivel înalt. Astfel, au existat cereri de răscumpărare de milioane de euro pentru a decripta sistemele afectate, de multe ori în companii care asigurau infrastructuri critice.

„În perioada iunie 2021 – noiembrie 2022, persoanele bănuite au folosit software-ul de răscumpărare HIVE pentru a ţinti o gamă largă de întreprinderi şi sectoare infrastructurale, precum instituţii ale statului, companii de telecomunicaţii, de producţie, de tehnologie a informaţiei, de servicii de îngrijire medical şi instituţii de sănătate publică. În urma unui atac grav, membrii afiliaţi HIVE au vizat un spital, fapt care a avut consecinţe severe în privinţa modului în care spitalul a putut să gestioneze pandemia de COVID-19. Din cauza atacului, spitalul a trebuit să recurgă la metode clasice de a trata pacienţii existenţi şi nu a putut primi pacienţi noi”, arată sursa citată.

Persoanele bănuite ar fi atacat companiile în moduri diferite. Unii membri ar fi intrat în posesia datelor persoanelor vătămate prin distribuirea de e-mailuri de tip „phishing”, exploatând vulnerabilităţile sistemelor de operare ale dispozitivelor atacate.

Europol a eficientizat eforturile de atenuare a victimizării, împreună cu alte state ale Uniunii Europene, reuşind, astfel, să oprească mai multe companii din a deveni victime ale software-ului HIVE. Autorităţile judiciare au pus la dispoziţia companiilor cheile de decriptare, pentru ca acestea să nu mai plătească răscumpărarea. Astfel, au fost prevenite plăţi de răscumpărare în valoare de peste 120.000.000 de euro.

„Europol a facilitat schimbul de informaţii, a sprijinit coordonarea operaţiunii şi a finanţat şedinţele operaţionale în Portugalia şi Olanda. De asemenea, Europol a oferit asistenţă analitică, adunând date referitoare la mai multe cauze penale, atât din Uniunea Europeană, cât şi dinafara Uniunii, şi a sprijinit investigaţia prin analiza cryptomonedelor, programelor de tip malware şi analiză criminalistică”, precizează IGPR.

De asemenea, operaţiunea a beneficiat de sprijinul Grupului de lucru împotriva infracţiunilor cibernetice al Europol. Această echipă operativă e alcătuită din ofiţeri de legătură, din mai multe ţări, care lucrează la cazuri referitoare la infracţiuni informatice de mare amploare.

Pe teritoriul României, grupul de ransomware HIVE a infectat infrastructura IT a mai multor companii medii şi mari din diferite domenii de activitate, chiar şi din categoria serviciilor esenţiale, perturbând funcţionarea sistemelor informatice şi desfăşurarea activităţii acestora.

„În urma investigaţiei desfăşurate de poliţiştii Direcţiei de Combatere a Criminalităţii Organizate – Serviciul de Combatere a Criminalităţii Informatice şi Brigada de Combatere a Criminalităţii Organizate Craiova, împreună cu DIICOT, cu sprijinul FBI şi Europol, un afiliat al grupului ransomware HIVE a fost reţinut şi trimis în judecată, în perioada 2021-2022.

Suportul de specialitate a fost asigurat de către Direcţia Operaţiuni Speciale a Poliţiei Române şi Biroul Tehnic şi de Criminalistică din cadrul DIICOT. Totodată, acţiunea a beneficiat de sprijinul jandarmilor din cadrul Brigăzii Speciale de Intervenţie a Jandarmeriei.