A polícia francesa prendeu um cidadão russo em Paris por supostamente ajudar a gangue de ransomware Hive a lavar os pagamentos de resgate de suas vítimas. O suspeito foi detido depois que o Escritório Francês Anticrime Cibernético (OFAC) o vinculou a carteiras digitais que receberam milhões de dólares de fontes suspeitas com base em sua atividade nas redes sociais.
“Após a busca internacional em janeiro para desmantelar esta rede de hackers que constitui uma grave ameaça, a Polícia Judiciária deteve em Paris um indivíduo suspeito de ter branqueado dinheiro destes ciberataques”, disse a Polícia Nacional francesa.
Os agentes da polícia também apreenderam € 570 mil em ativos de criptomoedas quando detiveram o suspeito de 40 anos e residente em Chipre no dia 5 deste mês, conforme relatado pela primeira vez pelo site LeMagIT.
“A plena cooperação com a Europol, a Eurojust e as autoridades cipriotas permitiu revistar a casa [do suspeito] numa estância balnear cipriota, fornecendo assim importantes elementos de investigação”, disse Nicolas Guidoux, vice-diretor do Ministério do Interior francês. “Em 9 de dezembro, ele foi encaminhado à promotoria especializada do tribunal judicial de Paris.”
Isso ocorre depois que os sites Tor do ransomware Hive foram apreendidos em janeiro em uma operação policial internacional depois que o FBI se infiltrou nos servidores da gangue no final de julho de 2022. A ação forneceu informações detalhadas sobre os ataques do ransomware Colmeia antes que eles ocorressem e ajudou a avisar seus alvos. O FBI também obteve e forneceu às vítimas mais de 1.300 chaves de descriptografia, evitando que cerca de US$ 130 milhões em pagamentos de resgate caíssem nas mãos dos cibercriminosos.
Além das chaves de descriptografia, o FBI e a polícia holandesa também descobriram registros de comunicação do Hive, hashes de arquivos de malware e detalhes sobre 250 afiliados do Hive armazenados em servidores em um provedor de hospedagem na Califórnia e servidores de backup na Holanda.
O Departamento de Estado dos EUA agora está oferecendo até US$ 10 milhões por qualquer informação que possa ajudar a vincular o grupo de ransomware Hive — ou outros operadores de ameaças — a governos estrangeiros.
Em novembro, o FBI revelou que essa operação de ransomware extorquiu cerca de US$ 100 milhões de mais de 1.500 empresas desde junho de 2021.
A Hive operou como um provedor de ransomware como serviço (RaaS) por mais de dois anos, desde junho de 2019. Ele usou ataques de phishing, explorou vulnerabilidades em dispositivos voltados para a internet e comprometeu credenciais roubadas para violar organizações.
Veja isso
Polícia de Portugal anuncia o desmantelamento do grupo Hive
Grupo Hive já recebeu US$ 100 milhões em resgates
Desde que a polícia derrubou a infraestrutura da gangue, uma nova operação de RaaS chamada Hunters International surgiu usando o código usado pela operação de ransomware Hive.
Ao analisar uma amostra de ransomware da Hunters International, o pesquisador de segurança Will Thomas encontrou sobreposições de código e semelhanças que correspondiam a mais de 60% do código do ransomware Hive. Isso levou à suposição válida de que a antiga gangue de ransomware retomou a atividade sob uma marca diferente. No entanto, o coletivo Hunters International refuta as alegações dos pesquisadores, descartando-as como “alegações”, dizendo que são um novo serviço de ransomware que comprou o código-fonte do criptografador dos desenvolvedores da Hive.
Além disso, o grupo afirma que seu foco principal não é a criptografia. Em vez disso, o principal objetivo da operação é roubar dados e usá-los para pressionar as vítimas a pagar resgates.