Ontem foi anunciado o desmantelamento da estrutura do HIVE, Considerado como um dos "grupos cibercriminosos mais relevantes a nível mundial" numa operação internacional que reuniu autoridades de 13 países, incluindo a Polícia Judiciária (PJ) em Portugal.

O grupo é suspeito de ter atacado várias entidades portuguesas, entre "unidades hospitalares, empresas de análises laboratoriais, municípios, companhias de transporte/aviação, unidades hoteleiras, empresas tecnológicas" e outras.

Citado pela Lusa, José Ribeiro, inspetor-chefe da PJ, realça a importância da cooperação internacional na operação que levou ao desmantelamento do grupo de cibercriminosos. De acordo com o responsável, as investigações vão prosseguir, com o objetivo de identificar os afiliados do grupo HIVE, sendo que, para já, ainda não há detenções.

Segundo os dados avançados pelo responsável, a estrutura criminosa agora desativada foi responsável por milhares de ataques informáticos, com os criminosos envolvidos a estarem dispersos pelo mundo. A cooperação policial internacional já está a preparar os próximos passos no combate a estas estruturas criminosas.

HIVE: O que se sabe sobre o grupo de ransomware?

Segundo dados partilhados pela Europol e pelo Departamento de Justiça dos Estados Unidos (DOJ, na sigla em inglês), desde junho de 2021 que mais de 1.500 entidades em 88 países foram afetadas pelo ransomware HIVE, tendo perdido quase 100 milhões de euros em pagamentos de resgate.

Os cibercriminosos por trás da estrutura do HIVE operavam num modelo ransomware-as-a-service (RaaS), com administradores, responsáveis pela criação do software malicioso, mas também pela sua gestão e atualização, e afiliados, que perpetravam os ataques.

Nos ataques, os afiliados recorriam ao método de dupla extorsão. Antes da encriptação dos dados, informação sensível era exfiltrada. Ao pedirem um resgate, os cibercriminosos ameaçavam as vítimas com a publicação da informação roubada caso as quantias exigidas não fossem pagas.

HIVE: grupo de ransomware que atacou entidades portuguesas desmantelado em operação internacional
HIVE: grupo de ransomware que atacou entidades portuguesas desmantelado em operação internacional
Ver artigo

Caso as vítimas pagassem o resgate, 80% do dinheiro ficava na posse dos administradores, com os restantes 20% para os afiliados. Por outro lado, se o resgate não fosse pago, a informação era exposta no site da estrutura criminosa na Dark Web.

Como é que os cibercriminosos ganhavam acesso às redes e sistemas das vítimas? Citando dados partilhados pela Cybersecurity and Infrastructure Security Agency (CISA), o DOJ detalha que os afiliados recorriam a uma variedade de métodos.

Os cibercriminosos aproveitavam-se, por exemplo, de funcionalidades de login único através do Remote Desktop Protocol, de redes virtuais privadas (VPNs) e de outros protocolos de ligação remota a redes. A exploração de vulnerabilidades e a implementação de esquemas de phishing por email com anexos maliciosos eram também táticas utilizadas.

Em julho de 2022, o FBI conseguiu entrar na rede da estrutura criminosa e identificar as chaves de desencriptação dos dados, que foram partilhadas com vítimas um pouco por todo o mundo.

As entidades que receberam as chaves não precisaram de pagar os resgates exigidos que, ao todo, tinham um valor estimado de 120 milhões de euros. Recorde-se que, "algumas das vítimas que receberam ajuda das autoridades estavam sediadas em Portugal", como revelou a PJ.

Segundo o DOJ, desde junho do ano passado que já foram partilhadas mais de 300 chaves de desencriptação junto de entidades que estavam a ser atacadas. O FBI partilhou também mais de 1.000 chaves adicionais com vítimas que tinham sido atacadas anteriormente.