Hive Ransomware: infiltrado por el FBI durante meses

El titular

26 de enero de 2023. El Departamento de Justicia de EEUU anuncia la incautación de los servidores y sitios web de Hive ransomware. Pero la noticia real es lo que había pasado antes: el FBI había estado dentro de la infraestructura de Hive durante 7 meses, proporcionando claves de descifrado a las víctimas sin que el grupo lo supiera.

"Simply put, using lawful means, we hacked the hackers." — Deputy Attorney General Lisa Monaco.

El contexto

Hive en números

Hive, activo desde junio de 2021, era uno de los grupos de ransomware más agresivos:

• 1,500+ víctimas en 80+ países
• 100+ millones USD en rescates cobrados
• Objetivos: hospitales, escuelas, infraestructura crítica, finanzas
• No respetaba sectores "prohibidos": atacó hospitales durante COVID

El modelo

Hive operaba como RaaS con un panel de afiliados. Los afiliados comprometían redes, desplegaban el ransomware, y negociaban el rescate. Hive proporcionaba: el malware, la infraestructura de C2, el sitio de leaks y el servicio de soporte para negociaciones.

La infiltración del FBI

Julio de 2022: acceso inicial

El FBI penetró en la infraestructura de Hive. Los detalles exactos de cómo no se han publicado (presumiblemente para proteger las técnicas), pero el resultado fue claro: acceso a los servidores backend del grupo, incluyendo el sistema de gestión de claves de descifrado.

7 meses encubierto

Durante 7 meses (julio 2022 - enero 2023), el FBI:

• Proporcionó 300+ decryptors a víctimas activas de Hive, ahorrándoles ~130 millones USD en rescates
• Distribuyó 1,000+ claves de descifrado a víctimas anteriores
• Monitorizó las operaciones del grupo: nuevos ataques, afiliados, comunicaciones
• No alertó al grupo: mantuvieron la cobertura durante meses para maximizar el número de víctimas ayudadas

El debate táctico

La decisión de permanecer encubierto durante 7 meses fue estratégica. La alternativa era incautar los servidores inmediatamente. Pero al esperar, el FBI pudo:

• Ayudar a más víctimas con decryptors
• Recopilar más inteligencia sobre afiliados
• Identificar la infraestructura completa
• Preparar una operación de takedown más efectiva

El riesgo: durante esos 7 meses, Hive siguió atacando nuevas víctimas. El FBI proporcionaba decryptors, pero las víctimas sufrían la disrupción del ataque y el robo de datos.

El takedown

Enero de 2023

Operación coordinada entre FBI, Europol, BKA (Alemania), RCMP (Canadá) y policías de 13 países:

• Servidores incautados en Los Ángeles y Europa
• Sitio .onion de Hive tomado
• Panel de afiliados neutralizado
• Comunicaciones interceptadas

Resultado

• Hive efectivamente destruido como marca
• 300+ víctimas ayudadas con decryptors durante la infiltración
• 130+ millones USD en rescates evitados
• Inteligencia sobre afiliados compartida con agencias internacionales

Las lecciones

1. Las fuerzas del orden pueden hackear a los hackers

Hive demostró que las agencias pueden penetrar la infraestructura de grupos de ransomware y operar encubiertamente durante meses. Esto cambia el cálculo de riesgo para los operadores de RaaS.

2. La paciencia paga más que la velocidad

7 meses de acceso encubierto produjeron más resultados (300+ decryptors, inteligencia completa sobre afiliados) que un takedown inmediato hubiera logrado.

3. El ransomware que ataca hospitales atrae atención especial

Hive atacó hospitales durante COVID. Eso lo puso en la prioridad máxima del FBI. Los grupos de ransomware que respetan "líneas rojas" (no hospitales, no infraestructura crítica) pueden operar más tiempo antes de atraer una respuesta de este nivel.

4. Los decryptors son posibles

El fallo criptográfico de Hive permitió al FBI (y a investigadores de la Universidad de Corea) generar decryptors. No todos los ransomware tienen fallos criptográficos, pero cuando los tienen, la investigación técnica puede salvar a las víctimas.

Estado actual

Hive como marca: muerto. Afiliados: dispersos a otros RaaS (BlackCat/ALPHV, Royal/BlackSuit, Play). El modelo de "hackear a los hackers" se ha replicado en operaciones posteriores (Operation Cronos contra LockBit). El precedente Hive demostró que la infiltración a largo plazo es más efectiva que los takedowns rápidos.