Europol identificeerde de decoderingssleutels en deelde ze met veel van de slachtoffers, waardoor die zonder de cybercriminelen te betalen, weer toegang kregen tot hun gegevens. In het geval van de Mediamarkt eiste de groep vijftig miljoen euro in bitcoin voor de gegijzelde systemen, meldde RTL Nieuws eind 2021 na onderzoek.
Europol identificeerde de Hive-ransomware als een grote bedreiging. Het is gebruikt om de gegevens en computersystemen van grote it- en oliemultinationals in de EU en de VS te compromitteren en te versleutelen. Sinds juni 2021 zijn meer dan 1.500 bedrijven uit meer dan tachtig landen wereldwijd het slachtoffer geworden van Hive. Die bedrijven hebben bijna honderd miljoen euro aan losgeld overgemaakt.
Dubbele afpersing
De cybercriminelen hanteerden het dubbele afpersingsmodel van ransomware-as-a-service. Eerst kopieerden ze gegevens en vervolgens versleutelden ze de bestanden. Daarna vroegen ze om losgeld om de bestanden te decoderen. Ook dreigden ze de gestolen gegevens op hun Hive Leak-site te publiceren als er niet werd voldaan aan de eisen.
Sinds juni 2021 hebben criminelen Hive-ransomware gebruikt om zich te richten op een breed scala aan bedrijven en organisaties binnen de kritieke infrastructuur zoals overheden, telecommunicatiebedrijven, productievoorzieningen, informatietechnologie en de gezondheidszorg. De groep schuwde het niet om ook ziekenhuizen aan te vallen en er de ict lam te leggen. Sommige ziekenhuizen moesten daardoor tijdens de corona-pandemie overstappen op een papieren administratie en konden geen nieuwe patiënten toelaten.
Rol Europol
Europol faciliteerde de informatie-uitwisseling tussen opsporingsautoriteiten uit dertien landen. Het ondersteunde de coördinatie van de operatie en financierde operationele bijeenkomsten in Portugal en Nederland. De in Den Haag gevestigde politietak die de 27 EU-lidstaten ondersteuning biedt tegen terrorisme, cybercrime en de georganiseerde misdaad, bood ook analytische ondersteuning bij het koppelen van beschikbare gegevens aan verschillende strafzaken binnen en buiten de EU. Ook speelde het een rol in het onderzoek door te ondersteunen bij de analyse van cryptogeldstromen, malware, decodering en forensisch onderzoek.
Europol verwacht dat de analyse van deze gegevens en andere gerelateerde zaken leidt tot verder onderzoek. In Nederland worden die data gedeeld met de Nationale Politie.
Reacties
Mooi resultaat, maar het blijft dweilen. De Hive Ransomware groep is waarschijnlijk de op vier na actiefste Ransomware groep, net iets minder actief dan de Conti Ransomware groep waar ze waarschijnlijk uit voort zijn gekomen. De Conti Ransomware groep lijkt weer uit de Trickbot Ransomware groep voort te zijn gekomen. De Conti Ransomware groep heeft de dag na de massale inval in Oekraïne aangegeven Rusland te steunen. Een Conti lid die het daar niet me eens was, die heeft de interne chats op het internet gezet. De Hive Ransomware groep lijkt mede daarom een opvolger van de Conti Ransomware groep te zijn. Dat zet anderen op hun spoor.
De groepen zetten de namen van hun slachtoffers op het internet als niet snel genoeg betalen en geven ook aan wiens gestolen gegevens gepubliceerd kunnen worden. Daardoor is redelijk goed te zien waar de groepen actief zijn. Ze zijn vrijwel overal actief behalve in arme landen waar weinig te halen is en in de Russische Federatie en hun vrienden. In sommige landen ben je als Ransomware groep automatisch tegenstander van het regiem, vooral als je ze opnieuw aanvalt, wat de Ransomware groepen vaak doen. Dan kunnen de leden te maken krijgen met een “natuurlijke” dood, een nekschot of een bomaanslag. Dat is dan een alternatief voor de betaling van een ransome. Het kan ook een vervelende nabetaling zijn. In Iran lopen bedrijven die niet van de Revolutionaire Garde zijn, meer kans op een hack uit eigen land.
Bijna alle grote Ransomware groepen lijken gekoppeld te zijn aan Rusland en aan de Russische inlichtingsdiensten en / of de Wagner groep. We mogen er vanuit gaan dat uit de Hive Ransomware en Conti Ransomware groepen, wel een nieuwe groep zal voortkomen of meerdere. Het zijn net softwarerelease met een relatief korte ondersteuning.
Uw reactie
LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren