De Amerikaanse veiligheidsdienst FBI en de Australische politie hebben afgelopen week twee mannen gearresteerd die in verband worden gebracht met Hive-ransomware. Gezamenlijk zouden ze de gijzelsoftware, die ook wel bekend was onder de naam Firebird, hebben ontwikkeld en verkocht. De verdachten riskeren ieder tientallen jaren gevangenisstraf.
Het Amerikaanse ministerie van Justitie en Australische politie kondigen de arrestaties aan via een persbericht.
Australische verdachte riskeert gevangenisstraf van 36 jaar
Hive wordt door beveiligingsexperts omschreven als een zogeheten Remote Access Trojan (RAT). Dat is kwaadaardige software waarmee hackers van afstand de controle over een computer kunnen overnemen om inloggegevens en andere persoonlijke informatie van slachtoffers te stelen en versleutelen.
De enige manier om weer toegang tot deze data te krijgen, is door losgeld te betalen. Zodra de aanvallers het losgeld ontvangen, sturen ze de decryptie- of decoderingssleutel op naar het slachtoffer. Daarmee is het mogelijk om het digitale slot te verwijderen.
De Australische politie arresteerde vorige week donderdag een man die Hive zou hebben ontwikkeld. Hij wordt verdacht van twaalf vergrijpen, waaronder het plegen van computervredebreuk en het faciliteren van computermisdrijven. De rechter kan voor ieder vergrijp een gevangenisstraf van drie jaar opleggen.
Amerikaanse verdachte verkocht Hive-licenties op hackersfora
De FBI heeft een man aangehouden die eveneens een aandeel had in de verspreiding van Hive. Het gaat om de 24-jarige Edmond Chakhmakhchyan, die online ook wel bekend was onder de naam ‘Corruption’. Hij zou met de Australische verdachte afgesproken hebben om licenties van de malafide software op hackersfora te verkopen, de financiële administratie af te handelen en de klantenservice op zich te nemen. Daarmee zou hij vier jaar geleden zijn begonnen.
Het Amerikaanse ministerie van Justitie beschuldigt Chakhmakhchyan van het adverteren voor en leveren van afluistersoftware. Voor beide aanklachten kan de rechter hem een gevangenisstraf van vijf jaar opleggen in de federale gevangenis.
Hive maakte ook in Nederland slachtoffers
Hive zou wereldwijd meer dan 1.500 slachtoffers hebben gemaakt, waaronder enkele Nederlandse organisaties. Zo voerden hackers in november 2021 een ransomware-aanval uit op de MediaMarkt. Klanten uit Nederland, België en Luxemburg konden daardoor dagenlang geen bestellingen ophalen of producten retourneren. De aanvallers vroegen om een losgeldbedrag van 50 miljoen euro, wat nooit is betaald.
Ook ziekenhuizen en andere zorginstellingen in ons land waren het doelwit van Hive. In oktober 2021 waarschuwde Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector, om alert te zijn voor de hackersgroep. Z-CERT adviseerde zorginstanties om de beveiliging van hun computersystemen en -netwerken nog eens kritisch tegen het licht te houden en op orde te brengen.
Begin 2023 slaagden opsporings- en handhavingsdiensten uit dertien landen erin om de infrastructuur van Hive uit de lucht te halen. Een half jaar daarvoor wist de FBI het computernetwerk van de malware te infiltreren. De inlichtingendienst wist zodoende de hand te leggen op driehonderd decoderingssleutels. Daarnaast werden er nog eens duizend decryptiesleutels verspreid onder organisaties die in het verleden slachtoffer waren van Hive. De Nederlandse en Duitse politie namen servers in beslag die Hive gebruikte om de malware te verspreiden en intern te communiceren.
