Hive ransomware: modelo de negocio moderno y eficiente

El cierre por parte del Departamento de Justicia de EE. UU. el jueves de la operación de ransomware Hive, que extorsionó unos 100 millones de dólares a más de 15000 víctimas en todo el mundo, destaca cómo la piratería se ha convertido en una industria especializada ultraeficiente que puede permitir que cualquiera se convierta en un artista de ciberextorsión.

modelo de negocio moderno

Hive operaba en lo que los expertos en seguridad cibernética llaman un estilo de «ransomware como servicio», o RaaS, una empresa que alquila su software y métodos a otros para extorsionar a un objetivo.

El modelo es fundamental para el ecosistema de ransomware más grande, en el que los actores se especializan en una habilidad o función para maximizar la eficiencia.

Según Ariel Ropek, director de inteligencia de amenazas cibernéticas de la firma de seguridad cibernética Avertium, esta estructura hace posible que los delincuentes con una fluidez informática mínima ingresen al juego del ransomware pagando a otros por su experiencia.

«Hay bastantes de ellos», dijo Ropek sobre las operaciones de RaaS.

«Es realmente un modelo de negocio hoy en día», dijo.

Cómo funciona

En la llamada web oscura, los proveedores de servicios de ransomware y soporte presentan sus productos abiertamente.

En un extremo están los intermediarios de acceso inicial, que se especializan en acceder a los sistemas informáticos corporativos o institucionales.

Luego venden ese acceso al pirata informático o al operador del ransomware.

Pero el operador depende de desarrolladores de RaaS como Hive, que tienen las habilidades de programación para crear el malware necesario para llevar a cabo la operación y evitar medidas de contraseguridad.

Por lo general, sus programas, una vez insertados por el operador del ransomware en los sistemas de TI del objetivo, se manipulan para congelar, mediante el cifrado, los archivos y datos del objetivo.

Los programas también extraen los datos al operador del ransomware.

Los desarrolladores de RaaS como Hive ofrecen un servicio completo a los operadores, por una gran parte del rescate pagado, dijo Ropek.

«Su objetivo es hacer que la operación de ransomware sea lo más completa posible», dijo.

educado pero firme

Cuando el ransomware se planta y se activa, el objetivo recibe un mensaje que le indica cómo corresponder y cuánto pagar para descifrar sus datos.

Ese rescate puede oscilar entre miles y millones de dólares, generalmente dependiendo de la solidez financiera del objetivo.

Inevitablemente, el objetivo intenta negociar en el portal. A menudo no llegan muy lejos.

Menlo Security, una firma de ciberseguridad, publicó el año pasado la conversación entre un objetivo y el «Departamento de Ventas» de Hive que tuvo lugar en el portal especial de Hive para víctimas.

En él, el operador de Hive se ofreció cortés y profesionalmente a probar que el descifrado funcionaría con un archivo de prueba.

Pero cuando el objetivo ofreció repetidamente una fracción de los 200.000 dólares exigidos, Hive se mostró firme e insistió en que el objetivo podía pagar la cantidad total.

Eventualmente, el agente de Hive cedió y ofreció una reducción significativa, pero trazó el límite allí.

«El precio es de $ 50,000. Es definitivo. ¿Qué más decir?» escribió el agente de Hive.

Si una organización objetivo se niega a pagar, los desarrolladores de RaaS tienen una posición de respaldo: amenazan con publicar en línea los archivos confidenciales pirateados o venderlos.

Hive mantuvo un sitio web separado, HiveLeaks, para publicar los datos.

En la parte trasera del trato, según Ropek, hay operaciones especializadas para recolectar el dinero, asegurándose de que los participantes obtengan su parte del rescate.

Otros, conocidos como vasos de criptomonedas, ayudan a lavar el rescate para que el hacker lo use en la superficie.

Golpe modesto

La acción del jueves contra Hive fue solo un golpe modesto contra la industria RaaS.

Hay muchos otros especialistas en ransomware similares a Hive que todavía están en funcionamiento.

La mayor amenaza actual es LockBit, que atacó el Royal Mail de Gran Bretaña a principios de enero y un hospital infantil canadiense en diciembre.

En noviembre, el Departamento de Justicia dijo que LockBit había obtenido decenas de millones de dólares en rescates de 1000 víctimas.

Y no es difícil para los operadores de Hive comenzar de nuevo.

«Es un proceso relativamente simple de configurar nuevos servidores, generar nuevas claves de cifrado. Por lo general, hay algún tipo de cambio de marca», dijo Ropek.

© 2023 AFP