Dos hospitales, decenas de clínicas de todo tipo y 600 empleados. El pasado 21 de diciembre, esa era la presentación que hacía Hive, un grupo de ciberdelincuentes, de la que decían que era su nueva víctima, el Grupo Centro Médico Virgen de la Caridad de Murcia. En concreto, aseguraban haber secuestrado entre el 30 y el 40% de toda la información que guardaban en sus sistemas, según explicaron a Databreaches, donde hicieron hincapié en que aún no habían tenido contacto con la víctima. Al lado del anuncio, aparecía un cronómetro con horas, minutos y segundos. Si antes de que acabara el año no pagaban el rescate, todos los datos serían revelados. Es la mecánica habitual de los ataques de ransomware pero, esta vez, el desenlace ha sido distinto.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
Se trataba uno de los más de 1.500 ataques que había llevado a cabo Hive, una organización bloqueada por el FBI el pasado viernes, aunque por ahora no se han producido detenciones, si bien su web lleva días completamente inutilizaba. La agencia estadounidense ha definido a este grupo como una de las cinco grandes amenazas de ransomware a nivel mundial, algo que propició una investigación internacional coordinada por Europol, así como las policías de trece países distintos. Entre ellos, estaba la Policía Nacional, que tenía al grupo bajo lupa desde octubre de 2021, cuando se registró la primera ofensiva contra una empresa española. Desde entonces, se sucedieron hasta una veintena de casos similares al del Centro Médico Virgen de la Caridad, con quien ha tratado de contactar este periódico, sin haber obtenido respuesta al cierre de este artículo.
De cualquier modo, Hive había comenzado sus operaciones en julio de 2021 y, desde entonces, su malware se ha desplegado en más de 80 países distintos, donde se había lanzado contra todo tipo de objetivos, desde multinacionales como MediaMarkt hasta infraestructuras críticas como TataPower, una empresa del sector eléctrico en India. “En uno de sus mayores ataques, los afiliados de Hive atacaron un hospital, perturbando gravemente el funcionamiento del mismo durante la pandemia”, ha explicado el Ministerio del Interior. Unas ofensivas que, en total, les habrían reportado unos ingresos de cerca de 100 millones de euros. Pero todo se chafó de la forma más inesperada.
“Hemos hackeado a los hackers”
El desmantelamiento de Hive comenzó cuando dieron con la ubicación de los servidores principales, aunque lo más chocante es que consiguieron hacerlo con los mismos métodos que los atacantes. Es decir, penetraron en sus sistemas, observaron su funcionamiento y les robaron las claves. En total, estuvieron seis meses infiltrados sin ser descubiertos, mientras les iban facilitando las contraseñas para recuperar la información a las empresas atacadas. Así, evitaron que se embolsaran cerca de 120 millones de euros en ese periodo. “Usando medios legales, hemos hackeado a los hackers“, ha celebrado Lisa O. Monaco, la fiscal general adjunta encargada de dar la noticia.
El software Hive forma parte del modelo conocido como ransomware as a service (RaaS). Es decir, ellos se dedicaban únicamente a desarrollar un tipo de ataque –en este caso, también llamado Hive– para cifrar determinada información, de forma que se queda cerrada a cal y canto para luego extorsionar a las víctimas. “Fue uno de los primeros grupos de atacantes en utilizar este modelo y de los que más ayudaron a popularizarlo. Básicamente, vendían su malware a otros actores, les daban soporte técnico y se llevaban comisión de cada ataque“, resume Josep Albors, director de investigación de ESET en España.
Su operativa no siempre era la misma, ya que por ahora no está claro si también facilitaban la entrada en los sistemas. “Normalmente, trabajaban con afiliados para facilitar acceso a las redes corporativas desde donde lanzar el ransomware“, indica este especialista. “Es habitual que se repartan el trabajo. Unos se encargan de buscar las vulnerabilidades y entrar en los sistemas, que es lo que se conoce como access brokers, mientras que hay unos especialistas que se encargan de robar los datos y otros de cifrarlos. Cada uno se lleva su parte, así que todos se benefician”.
Según la investigación, las formas de penetrar en los servidores de las organizaciones han sido variadas. En algunos casos, los atacantes conseguían entrar en los sistemas a través de credenciales robadas, mientras que en otros lo hicieron mediante la explotación de brechas de seguridad o, directamente, mediante ataques de suplantación de identidad (phishing).
Ataques más duros, pero también mucho humo
Tal y como ha explicado este periódico, los ataques de ransomware se han endurecido en los últimos años. En un principio, se utilizaban para secuestrar determinada información en los servidores de una empresa y pedir rescate por ellos. En ese momento, la amenaza se limitaba perder esos archivos, pero cada vez fue más habitual agregar un nuevo chantaje: si no se realizaba el pago exigido, los datos serían vendidos al mejor postor. No se quedaron ahí.
Cuando no consiguen el dinero que quieren, suben el nivel y publican los archivos sustraídos en internet (en algunos casos, en webs con grandes facilidades de acceso). Sin embargo, en los últimos meses han ido a más: ya no solo amenazan con la difusión a la empresa atacada, sino también a las personas que han sido víctimas colaterales.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4ea%2F322%2F614%2F4ea32261493c581f76a3d593d25248a5.jpg)
Lo peor de todo es que, en algunas ocasiones, el supuesto secuestro también tiene sirve para vender humo. “Muchas veces, los grupos amenazan con una filtración y, hasta que no ves qué han conseguido robar, no sabes el verdadero alcance del ataque. Se dan casos en los que es cierto que han penetrado, pero no han logrado llevarse nada relevante”, expone Albors, que destaca que “suelen jugar con el tiempo y le dan un par de semanas a las víctimas para que se coman la cabeza”.
Entonces, ¿hay alguna forma de responder a un ransomware sin picar el anzuelo? “Hay quien espera a que se publique, algo que no es lo más recomendable. La otra opción es contratar una empresa de análisis de incidentes para seguir el rastro e identificar hasta dónde han podido llegar los delincuentes”. Sobre este punto, recuerda que Hive solo era el creador del malware. Al fin y al cabo, lo acababan vendiendo a cualquiera, y eso va “desde los más profesionales hasta novatos que hacen lo que pueden”.
Dos hospitales, decenas de clínicas de todo tipo y 600 empleados. El pasado 21 de diciembre, esa era la presentación que hacía Hive, un grupo de ciberdelincuentes, de la que decían que era su nueva víctima, el Grupo Centro Médico Virgen de la Caridad de Murcia. En concreto, aseguraban haber secuestrado entre el 30 y el 40% de toda la información que guardaban en sus sistemas, según explicaron a Databreaches, donde hicieron hincapié en que aún no habían tenido contacto con la víctima. Al lado del anuncio, aparecía un cronómetro con horas, minutos y segundos. Si antes de que acabara el año no pagaban el rescate, todos los datos serían revelados. Es la mecánica habitual de los ataques de ransomware pero, esta vez, el desenlace ha sido distinto.
