De gevreesde hackersgroep Hive, die bekendstaat om dubbele afpersing in ransomware-zaken, is door Europol uit de lucht gehaald. Dat gebeurde in samenwerking met Duitse, Nederlandse en Amerikaanse autoriteiten. Het criminelencollectief maakte in Nederland zeker vijf grote slachtoffers, waaronder de Mediamarkt.
Europol identificeerde de decoderingssleutels en deelde ze met veel van de slachtoffers, waardoor die zonder de cybercriminelen te betalen, weer toegang kregen tot hun gegevens. In het geval van de Mediamarkt eiste de groep vijftig miljoen euro in bitcoin voor de gegijzelde systemen, meldde RTL Nieuws eind 2021 na onderzoek.
Europol identificeerde de Hive-ransomware als een grote bedreiging. Het is gebruikt om de gegevens en computersystemen van grote it- en oliemultinationals in de EU en de VS te compromitteren en te versleutelen. Sinds juni 2021 zijn meer dan 1.500 bedrijven uit meer dan tachtig landen wereldwijd het slachtoffer geworden van Hive. Die bedrijven hebben bijna honderd miljoen euro aan losgeld overgemaakt.
Dubbele afpersing
De cybercriminelen hanteerden het dubbele afpersingsmodel van ransomware-as-a-service. Eerst kopieerden ze gegevens en vervolgens versleutelden ze de bestanden. Daarna vroegen ze om losgeld om de bestanden te decoderen. Ook dreigden ze de gestolen gegevens op hun Hive Leak-site te publiceren als er niet werd voldaan aan de eisen.
Sinds juni 2021 hebben criminelen Hive-ransomware gebruikt om zich te richten op een breed scala aan bedrijven en organisaties binnen de kritieke infrastructuur zoals overheden, telecommunicatiebedrijven, productievoorzieningen, informatietechnologie en de gezondheidszorg. De groep schuwde het niet om ook ziekenhuizen aan te vallen en er de ict lam te leggen. Sommige ziekenhuizen moesten daardoor tijdens de corona-pandemie overstappen op een papieren administratie en konden geen nieuwe patiënten toelaten.
Rol Europol
Europol faciliteerde de informatie-uitwisseling tussen opsporingsautoriteiten uit dertien landen. Het ondersteunde de coördinatie van de operatie en financierde operationele bijeenkomsten in Portugal en Nederland. De in Den Haag gevestigde politietak die de 27 EU-lidstaten ondersteuning biedt tegen terrorisme, cybercrime en de georganiseerde misdaad, bood ook analytische ondersteuning bij het koppelen van beschikbare gegevens aan verschillende strafzaken binnen en buiten de EU. Ook speelde het een rol in het onderzoek door te ondersteunen bij de analyse van cryptogeldstromen, malware, decodering en forensisch onderzoek.
Europol verwacht dat de analyse van deze gegevens en andere gerelateerde zaken leidt tot verder onderzoek. In Nederland worden die data gedeeld met de Nationale Politie.
Mooi resultaat, maar het blijft dweilen. De Hive Ransomware groep is waarschijnlijk de op vier na actiefste Ransomware groep, net iets minder actief dan de Conti Ransomware groep waar ze waarschijnlijk uit voort zijn gekomen. De Conti Ransomware groep lijkt weer uit de Trickbot Ransomware groep voort te zijn gekomen. De Conti Ransomware groep heeft de dag na de massale inval in Oekraïne aangegeven Rusland te steunen. Een Conti lid die het daar niet me eens was, die heeft de interne chats op het internet gezet. De Hive Ransomware groep lijkt mede daarom een opvolger van de Conti Ransomware groep te zijn. Dat zet anderen op hun spoor.
De groepen zetten de namen van hun slachtoffers op het internet als niet snel genoeg betalen en geven ook aan wiens gestolen gegevens gepubliceerd kunnen worden. Daardoor is redelijk goed te zien waar de groepen actief zijn. Ze zijn vrijwel overal actief behalve in arme landen waar weinig te halen is en in de Russische Federatie en hun vrienden. In sommige landen ben je als Ransomware groep automatisch tegenstander van het regiem, vooral als je ze opnieuw aanvalt, wat de Ransomware groepen vaak doen. Dan kunnen de leden te maken krijgen met een “natuurlijke” dood, een nekschot of een bomaanslag. Dat is dan een alternatief voor de betaling van een ransome. Het kan ook een vervelende nabetaling zijn. In Iran lopen bedrijven die niet van de Revolutionaire Garde zijn, meer kans op een hack uit eigen land.
Bijna alle grote Ransomware groepen lijken gekoppeld te zijn aan Rusland en aan de Russische inlichtingsdiensten en / of de Wagner groep. We mogen er vanuit gaan dat uit de Hive Ransomware en Conti Ransomware groepen, wel een nieuwe groep zal voortkomen of meerdere. Het zijn net softwarerelease met een relatief korte ondersteuning.
Het nieuws over de ontmanteling van de hackersgroep Hive is een positieve ontwikkeling in de strijd tegen ransomware en cybercriminaliteit. Het is bemoedigend om te zien dat Europol, samen met Duitse, Nederlandse en Amerikaanse autoriteiten, in staat was om deze gevaarlijke groep aan te pakken en verantwoordelijkheid te nemen voor hun schadelijke acties.
Het gebruik van dubbele afpersing door deze hackersgroep, waarbij gegevens eerst werden gekopieerd en vervolgens versleuteld, was een verontrustende tactiek die ernstige schade toebracht aan talloze bedrijven en organisaties, waaronder ziekenhuizen die al onder druk stonden tijdens de corona-pandemie.
De rol van Europol in het faciliteren van de samenwerking tussen dertien landen en het bieden van analytische ondersteuning en expertise bij het opsporen van deze cybercriminelen is lovenswaardig. Het gebruik van cryptogeld en andere geavanceerde technieken maakt het moeilijker om daders op te sporen, maar de inspanningen van Europol en andere betrokken autoriteiten hebben duidelijk resultaten opgeleverd.
Het is essentieel dat internationale samenwerking blijft plaatsvinden om cybercriminaliteit te bestrijden en dergelijke hackersgroepen te ontmaskeren. Het feit dat de decoderingssleutels aan slachtoffers werden gegeven zonder te betalen, betekent dat de schade en impact van deze aanvallen tot op zekere hoogte kunnen worden beperkt.
Desalniettemin is het belangrijk om waakzaam te blijven, want nieuwe hackersgroepen en -tactieken kunnen altijd opduiken. Beveiligingsmaatregelen moeten voortdurend worden verbeterd, en het delen van informatie tussen landen en organisaties is van cruciaal belang om cybercriminaliteit effectief aan te pakken.
Al met al is deze actie tegen Hive een belangrijk signaal dat overheden en internationale organisaties vastberaden zijn om de toenemende dreiging van ransomware en cyberaanvallen het hoofd te bieden. Hopelijk zal dit leiden tot verdere successen in het beschermen van bedrijven, organisaties en burgers tegen dergelijke schadelijke acties in de toekomst. https://hackerscollectief.nl