Prima Revil. Poi Conti. Ora Hive. Sta per toccare a LockBit? L’Fbi ha messo a segno un nuovo colpo contro le cyber gang che aiutano la Russia di Vladimir Putin. Questa volta con la collaborazione delle autorità tedesche e olandesi: è stato bloccato Hive, gruppo scoperto nel giugno 2021, specializzato negli attacchi informatici a scopo di doppia estorsione (ransomware) e accusato di aver sottratto più di 100 milioni di dollari a organizzazioni di tutto il mondo.

Merrick Garland, procuratore generale degli Stati Uniti, ha dichiarato che la gang Hive ha colpito anche ospedali, scuole e società finanziarie, rubando e talvolta pubblicando i loro dati. Si tratta di uno dei dieci gruppi più pericolosi al mondo per numeri di obiettivi diffusi pubblicamente, con circa la metà delle vittime negli Stati Uniti, affermatosi dopo una spaccatura all’interno di una delle più famose bande di ransomware russa, Conti (diversi membri di Conti sono entrati in Hive). Un membro ucraino di Conti aveva fatto trapelare chat interne che rivelavano che i leader si vantavano di avere contatti con il Servizio di sicurezza federale russo (Fsb). Ciò non conferma la regia dello Stato russo ma suggerisce la tacita approvazione del governo russo.

Nell’agosto 2021, una rete di ospedali no-profit dell’Ohio ha dovuto cancellare molti interventi chirurgici urgenti perché il personale è passato alle cartelle cliniche cartacee. Tra le altre vittime, anche un’azienda di macchinari pesanti della Florida che ha dovuto chiudere temporaneamente i battenti, diversi studi legali e un’azienda tecnologica del New Jersey i cui clienti hanno subito un furto dei dati, secondo un affidavit dell’Fbi. Un elemento sottolineato da Christopher Wray, direttore dell’Fbi, conferma l’importanza della consapevolezza dei rischi cibernetici: solo il 20% circa delle vittime di Hive negli Stati Uniti ha notificato gli attacchi. I funzionari hanno dichiarato di non aver effettuato alcun arresto e di non aver sequestrato i proventi dei riscatti, ma l’indagine prosegue. In casi passati erano stati recuperati riscatti e chiavi di decrittazione. Ma, ha detto Wray, le autorità non sono mai state in grado di aiutare così tante vittime per così tanto tempo.

A giugno, l’Fbi era riuscita a entrare nelle reti di Hive e recuperare la chiave crittografica comunicandola alle vittime di tutto il mondo nei mesi successivi, così da consentire loro di evitare il pagamento di 130 milioni di dollari di riscatto, ha spiegato Wray. L’ufficio del procuratore di Stoccarda, in Germania, ha comunicato che l’operazione, soprannominata Dawnbreaker, è partita da un’indagine aperta dai suoi uffici dopo alcuni attacchi ricevuti dalle imprese della regione. “Ancora una volta, è stato dimostrato che una cooperazione intensa e basata sulla fiducia reciproca attraverso i confini e i continenti è la chiave per una lotta efficace contro i principali crimini informatici”, ha affermato Udo Vogel, capo della polizia di Reutlingen (Sud-Ovest della Germania). “Abbiamo hackerato gli hacker”, ha dichiarato il numero due del dipartimento di Giustizia, Lisa Monaco. “Per mesi, abbiamo aiutato le vittime a reagire contro i loro aggressori e tolto alla rete i suoi profitti criminali”, ha concluso.

“Azioni come questa aggiungono attrito alle operazioni di ransomware. Hive potrebbe essere costretto a riorganizzarsi, riattrezzarsi e persino cambiare marchio”, ha dichiarato John Hultquist, responsabile di Mandiant Threat Intelligence (Google), citato dal Washington Post. “Quando gli arresti non saranno possibili, dovremo concentrarci su soluzioni tattiche e su una migliore difesa. Finché non riusciremo a risolvere il problema del rifugio sicuro russo e del mercato resiliente del crimine informatico, dovremo concentrarci su questo”.