Europol heeft samen met de autoriteiten uit dertien landen de infrastructuur van de HIVE-ransomware ontmanteld. Hiermee werd aan criminelen Ransomware as a Service aangeboden, waarbij de ‘klant’ 80 procent en de ‘dienstverlener’ 20 procent van het door slachtoffers betaalde losgeld kregen.

Volgens het Europese samenwerkingsverband van nationale politiediensten werd de HIVE-ransomware beschouwd als een grote dreiging, omdat deze werd gebruikt om de gegevens en computersystemen van grote IT- en oliemultinationals in de EU en de VS te compromitteren en te versleutelen. Sinds juni 2021 zijn meer dan 1500 bedrijven uit meer dan 80 landen wereldwijd het slachtoffer geworden en is naar schatting bijna 100 miljoen euro aan losgeld betaald. Vaak om de versleutelde data terug te krijgen, maar ook om te voorkomen dat gevoelige gegevens openbaar werden gemaakt via de Hive Leak Site. Met dit dubbele afpersingsmodel werden slachtoffers onder druk gezet, als zij dankzij goede back-ups zelf hun systemen konden herstellen.

Geen IT-kennis nodig
Dankzij HIVE hoefden criminelen geen IT-kennis te hebben om organisaties aan te vallen en af te persen. Slachtoffers waren veelal overheden en vitale infrastructuren, omdat men dan verzekerd was van financiële draagkracht. Zo werden soms miljoenen aan losgeld geëist. Zelfs ziekenhuizen werden niet gespaard. Een in behandeling van covidpatiënten gespecialiseerde instelling moest het na een aanval zonder ICT-systemen doen, wat enorm ten koste ging van de zorgcapaciteit. Met HIVE werd relatief makkelijk de beveiliging omzeild, zelfs als gebruik werd gemaakt van VPN’s en 2-factorauthenticatie. Ook kon via geavanceerde phishingmails vaak toegang worden verkregen of via bekende kwetsbaarheden in de gebruikte besturingssystemen.

Slachtoffers geholpen
Specialisten van de FBI slaagde er een half jaar geleden in om binnen te dringen in het HIVE-systeem. Gedurende die tijd werden alle activiteiten gemonitord om bewijsmateriaal te verzamelen. Ook werden ‘sleutels’ gevonden, waarmee de systemen van slachtoffers hersteld konden worden. Dat scheelde de getroffen organisaties maar liefst 120 miljoen euro aan losgeld. Europol faciliteerde verder de informatie-uitwisseling, ondersteunde de coördinatie van de operatie en financierde operationele vergaderingen in Portugal en Nederland. Verder werd analytische ondersteuning aangeboden bij het koppelen van beschikbare gegevens aan verschillende strafzaken binnen en buiten de EU. Ook de Joint Cybercrime Action Taskforce (J-CAT) van Europol ondersteunde de operatie. Dit vaste operationele team bestaat uit cybercrime-verbindingsfunctionarissen uit verschillende landen die werken aan spraakmakende cybercrime-onderzoeken. Bij de actie van Europol zijn overigens geen verdachten aangehouden. De kans is groot dat de mensen achter HIVE snel met een vergelijkbaar platform komen.