Opsporings- en handhavingsdiensten uit dertien verschillende landen hebben de infrastructuur van Hive uit de lucht gehaald. De hackersgroep maakte meer dan 1.500 slachtoffers in tachtig landen wereldwijd, waaronder scholen en zorginstellingen. Daarmee is voorkomen dat gedupeerden 120 miljoen euro aan losgeld moesten betalen.
Dat melden Europol en het Amerikaanse ministerie van Justitie in een persbericht.
FBI infiltreerde zes maanden lang het Hive-netwerk
In juli vorig jaar slaagde de FBI erin om het computernetwerk van Hive te infiltreren. De inlichtingendienst wist daardoor de hand te leggen op driehonderd decoderingssleutels van bedrijven en organisaties die op dat moment werden belaagd door de hackersgroep. Daarbovenop werden nog eens duizend decryptiesleutels verspreid onder instanties die in het verleden het doelwit waren van het hackerscollectief.
Samen met de Nederlandse en Duitse politie zijn er servers in beslag genomen die de hackers gebruikten om te communiceren met haar leden. Hive is daardoor niet langer in staat om nieuwe slachtoffers te maken en bedrijven af te persen. Huidige slachtoffers hoeven daardoor geen losgeld te betalen aan de hackers. Naar schatting is daarmee zo’n 120 miljoen euro gered.
Naast de Verenigde Staten, Duitsland en Nederland namen opsporingsdiensten uit Canada, Frankrijk, Ierland, Litouwen, Noorwegen, Portugal, Roemenië, Spanje, het Verenigd Koninkrijk en Zweden deel aan de actie om Hive offline te halen. Europol coördineerde de internationale actie.
Hive hanteert RaaS-verdienmodel
Hive is een internationale hackersgroep die sinds juni 2022 meer dan 1.500 slachtoffers wereldwijd heeft gemaakt. Daarbij is naar schatting zo’n 100 miljoen euro aan losgeldbetalingen ontvangen. Dat geld is afkomstig van onder meer scholen, ziekenhuizen, telecombedrijven, overheden en financiële instellingen.
De groep maakt gebruik van Ransomware-as-a-Service (RaaS) om inkomsten te genereren. RaaS is een verdienmodel waarbij de ontwikkelaars van ransomware hun software verhuren aan zogeheten affiliates. Technische onderlegde hackers schrijven de code voor de gijzelsoftware, anderen voeren er cyberaanvallen mee uit. In ruil daarvoor krijgen de ontwikkelaars een deel van de opbrengst, veelal een vooraf afgesproken percentage.
Double extortion
Hive gebruikte double extortion om haar slachtoffers af te persen. Eerst drongen de hackers het computernetwerk van nietsvermoedende bedrijven en organisaties binnen om te kijken of er iets te halen viel. Als dat het geval was, kopieerden ze vertrouwelijke of privacygevoelige informatie en plaatsten ze digitale bestanden op de systemen van hun slachtoffers achter slot en grendel. Daarvoor gebruikte de groep ransomware.
Vervolgens namen de hackers contact op met hun slachtoffers en eisten ze losgeld in ruil voor de decoderingssleutel. Gedupeerden die weigerden te betalen werden hiervoor gestraft: de buitgemaakte informatie werd openbaar gemaakt, of verkocht aan de hoogste bieder op het dark web.
Nederlandse partijen doelwit van Hive
Hive maakte in het verleden in tientallen landen slachtoffers, waaronder in Nederland. In november 2021 voerde de hackersgroep een cyberaanval uit op MediaMarkt. Daardoor konden klanten in filialen in Nederland, België, Luxemburg en Duitsland enige tijd niet bij de retailer terecht om producten te kopen. Bestellingen ophalen of retourneren was tijdelijk onmogelijk, omdat de internetkabels uit de kassa’s waren gehaald. De daders vroegen 50 miljoen dollar aan losgeld. Een woordvoerder van de retailer ontkende dat er klantgegevens waren buitgemaakt.
Ook ziekenhuizen en andere zorginstellingen in ons land waren het doelwit van Hive. In oktober 2021 waarschuwde Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector, om alert te zijn voor de hackersgroep. Z-CERT adviseerde zorginstanties om de beveiliging van hun computersystemen en -netwerken nog eens kritisch tegen het licht te houden en op orde te brengen.
