“‘Hackeámos os ‘hackers’.” Foi desta forma que as autoridades norte-americanas descreveram o desmantelamento da operação do Hive, um dos mais relevantes no ransomware internacional. Mas foi preciso mais do que o FBI para chegar a este grupo. A operação envolveu a Europol, através da J-CAT, a ‘taskforce’ conjunta para o cibercrime, composta por representantes de diversos Estados-membros. Portugal também participou na operação, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da Polícia Judiciária (PJ), colaborando com as autoridades da Alemanha, Países Baixos, Irlanda, Lituânia, Noruega, Espanha, Roménia, Suécia, Reino Unido, França e Canadá.

Foi anunciado que, após meses de trabalho, os parceiros internacionais conseguiram desmantelar o grupo internacional, um dos mais ativos na atividade cibercriminosa. As autoridades conseguiram assumir o controlo dos servidores e dos sites que eram usados para assegurar a comunicação entre os diferentes membros do grupo.

???? Cybercriminals stung as HIVE #ransomware infrastructure shut down.

???? The international operation involved authorities from 13 countries.

???? Law enforcement identified the decryption keys & shared them with many victims.

Details ➡️ https://t.co/eXnTuiVLWt#EMPACT pic.twitter.com/pJGdv0VXX2

— Europol (@Europol) January 26, 2023

O grupo começou a dar nas vistas em junho de 2021 e, em menos de dois anos, chegou ao top 5 das principais redes de ransomware, um tipo de software malicioso que explora uma vulnerabilidade e que encripta os dados das vítimas, exigindo um resgate. No comunicado da PJ detalhava-se que, “como resultado da operação”, o grupo criminoso “ficou privado dos meios para lançar ciberataques, muitas vezes capazes de paralisar totalmente as operações da vítima afetada e que causavam graves prejuízos económicos e de imagem às instituições visadas”.

Os dados das autoridades estimam que a atividade deste grupo criminoso tenha lesado as vítimas, que também foram detetadas em Portugal, em milhões de dólares. Desde junho de 2021, o grupo atacou mais de 1.500 entidades a nível global e recebeu pagamentos de resgate que ultrapassaram a fasquia dos 100 milhões de dólares, o equivalente a quase 92 milhões de euros. O valor só não foi mais elevado devido ao envolvimento das autoridades, que se conseguiram infiltrar na operação do grupo, entregando chaves de desencriptação às vítimas, o que preveniu pagamentos na ordem de 130 milhões de dólares (120 milhões de euros).

Quem é este grupo e como atua?

As primeiras atividades detetadas deste grupo remontam ao verão de 2021. “Usavam software malicioso, também designado como malware, cujo objetivo era a cifra dos ficheiros, de forma a que, para que as vítimas conseguissem reaver os ficheiros, tivessem de pagar resgate”, explica David Russo, co-fundador da empresa de cibersegurança CyberS3c. Este especialista lembra que, em alguns casos, os ataques do grupo Hive afetaram até a resposta à pandemia de Covid-19, como aconteceu com um hospital em Lousiana, que teve de “recorrer a meios analógicos” para continuar a trabalhar e ficou impedido de aceitar novos pacientes.

Hugo Nunes, que lidera a equipa de cyber threat intelligence da empresa de segurança S21sec, acrescenta que o grupo recorria à “dupla extorsão” para acrescentar pressão às vítimas. Os membros do grupo “entram nas infraestruturas tecnológicas, ganham privilégios que permitem ter acesso à rede e depois fazem duas coisas: encriptam os dados, deixando-os inutilizados para a organização mas também uma exfiltração de dados”, ou seja, a retirada de dados da vítima. Hugo Nunes explica que, nesta segunda etapa, o grupo olhava para a informação que “tinha mais impacto, como patentes” ou dados sensíveis ligados ao RGPD, o regulamento geral de proteção de dados.

Ou seja, através da encriptação dos dados e da exfiltração de informação, o grupo assegurava um “duplo fator de pressão”, esclarece este responsável da S21Sec. É a mensagem de “’se não pagar a informação vai ser publicada’”. Embora diga que a “a grande maioria das empresas não paga o resgate”, há sempre consequências da intrusão, como o tempo que é preciso para recuperar do impacto do grupo e a “gestão de risco e da imagem”. Além disso, quem não paga pode ver os dados publicados. “Se não pagarem, é quase certo que esses dados vão ficar públicos.” De acordo com a nota da PJ, a informação podia ser “publicada no sítio do grupo Hive, alojado na ‘dark web’”.

Qual é a grande motivação para os ataques?

A principal motivação deste grupo está ligada a questões económicas, tal como acontece com outros do género. Hugo Nunes, da S21Sec, admite que o grupo “não é tão distinto de outros que continuam a circular”, mas que tem uma particularidade: além das atividades de dupla extorsão, também existia uma vertente de ‘ransomware-as-a-service’ (RaaS), ou seja, ransomware como serviço. Também David Russo, da CyberS3c, menciona esta particularidade nas operações do grupo.

“Fraude do CEO”. Sofisticado ataque que gera perdas de 43 mil milhões também mexe em Portugal

“Eu, enquanto individual, arranjei a palavra-passe de um organismo e faço o início do ataque. Depois sirvo-me do resto da infraestrutura deles [grupo Hive]”, exemplifica Hugo Nunes sobre o modus operandi. É um funcionamento quase de “afiliado”, reconhece: o grupo fornece “determinadas características” e “recebe uma percentagem caso a vítima pague o resgate”, quase como uma espécie de comissão.

O comunicado do Departamento de Justiça dos EUA também menciona o RaaS, descrevendo-o como um modelo “baseado em subscrições onde havia administradores, às vezes chamados developers e afiliados”. O grupo desenvolveu uma “vertente de ransomware e criou uma interface fácil de usar em que fosse possível operar e recrutar afiliados para implementar ataques de ransomware contra as vítimas”. Segundo esta informação, caberia aos afiliados “identificar os alvos e implementar o software malicioso pronto a usar para atacar vítimas e ganhar uma percentagem por cada pagamento de resgate bem sucedido”.

O grupo não tem aparentemente uma indústria favorita: as mais de 1.500 vítimas detetadas em 80 países desde junho de 2021 operam em setores como as infraestruturas críticas, telecomunicações, indústria, tecnologias de informação, serviços financeiros, empresas do setor da aviação, saúde ou ainda em instalações governamentais.

“Atacavam quem conseguissem”, resume David Russo. “É um pouco aquele pensamento de tentar atacar onde dói mais: um hospital parado não tem muitas hipóteses” a não ser pagar o resgate, lamenta.

É possível perceber de onde atuam?

Nenhuma das autoridades envolvidas na investigação falou em localizações geográficas concretas dos membros ou afiliados deste grupo Hive. “Não há uma infraestrutura central”, lembra Hugo Nunes, da S21Sec, o que dificulta a perceção de onde atuam estes agentes maliciosos. “Quando falamos de uma operação destas, os membros tipicamente estão espalhados, usam uma VPN [rede privada virtual que permite simular a geografia].”, acrescenta David Russo.

Ainda assim, ambos admitem a hipótese de se falar de membros nos “suspeitos do costume”: países que sejam mais brandos com esta atividades de cibercrime. David Russo nota que, em concreto, sabe-se pouco, mas existe a possibilidade de o grupo ter “ligações à Rússia”, mas lembra que “não é possível prever exatamente as suas localizações”. “Muitos destes grupos têm pessoas que vivem na Rússia”, que é “conhecida como local seguro para cibercriminosos”. E nota que há “várias APT, as ameaças persistentes avançadas, que trabalham” para este tipo de estados. Hugo Nunes lembra que, além da Rússia, também há “países de leste que são mais permissivos”.

Não há, no entanto, suspeitos desta atividade criminal ou sequer acusações, mas as autoridades envolvidas explicaram que continuam a trabalhar para chegar a mais participantes desta rede. A notícia de que o FBI conseguiu apreender servidores é uma porta aberta para encontrar responsáveis, mas continua a ser tarefa difícil. “Conseguiram apreender servidores, mas muitas vezes o que acontece é que quem está por trás destes ataques está em locais em que não existe um grande apoio à Europol e ao FBI. Estão em locais que protegem mais os cibercriminosos porque têm interesses” nessa atividade, reconhece David Russo.

Em dezembro do ano passado, foi detido na Roménia um homem suspeito de ser um afiliado do grupo Hive, já numa operação que envolveu colaboração entre a polícia romena e o FBI. O suspeito tinha 41 anos e foi detido em Craiova, na Roménia. Na altura, foram divulgados anúncios quer da Europol quer da polícia da Roménia.

Quem foram os alvos do grupo em Portugal? E lá fora?

A atividade do grupo Hive também fez vítimas em Portugal. Os laboratórios Germano de Sousa e o Hospital Garcia de Orta, em Almada foram alvos deste grupo, no ano passado, conforme detalhou a PJ em conferência de imprensa após o anúncio. Já ataques como aquele que vitimou a TAP, também alvo de ransomware, não estarão ligados a este grupo.

Mas houve mais organizações afetadas pelo grupo Hive em Portugal. Hugo Nunes, da S21Sec, refere que, tendo em conta que a atuação deste tipo de grupos faz com que sejam publicados dados das vítimas online, há indícios de que a companhia aérea HiFly possa ter sido afetada, assim como o Município de Loures, em novembro, ou ainda um “departamento concreto do Instituto Superior Técnico”, em Lisboa. No caso da HiFly, surgiram em fevereiro de 202 dados da empresa na dark web.

Outras vítimas deste grupo de ransomware a nível internacional incluem um hospital no Louisiana, nos Estados Unidos ou o distrito escolar do estado do Texas. Há também suspeitas de que o grupo Hive tenha estado envolvido no ataque de ransomware que afetou os servidores geridos pelo governo da Costa Rica em maio de 2022. Esta intrusão aconteceu algumas semanas depois do ataque iniciado em abril desse ano pelo grupo Conti, uma das operações de ransomware que no início da guerra demonstrou numa publicação online o seu apoio à Rússia.

Esta série de ataques afetou a atividade governamental na Costa Rica ao ponto de o então novo Presidente, Rodrigo Chaves, declarar “o estado de emergência nacional em todo o setor público do Estado da Costa Rica devido aos cibercrimes que afetaram a estrutura dos sistemas de informação de várias instituições do país.”

Na Alemanha, um dos ataques de maior dimensão da autoria deste grupo dirigiu-se à retalhista de eletrónica de consumo MediaMarkt Saturn, que controla as lojas Media Markt e Saturn, a segunda com maior expressividade no mercado alemão.

Como é que as autoridades conseguiram desmantelar a rede?

As autoridades norte-americanas consideraram o grupo Hive como uma “ameaça do top 5”, devido à sofisticação dos ataques e aos danos que conseguiam causar às visitas, explicaram em conferência de imprensa.

“A nossa equipa de investigação infiltrou-se de forma legítima na rede do grupo Hive e escondeu-se durante meses, acedendo a passwords de desencriptação que passava às vítimas para libertá-las do ransomware”, contou Lisa Monaco, da Procuradoria-Geral norte-americana. “Durante meses ajudámos as vítimas a derrotar quem as atacava e a privar o grupo de lucros resultantes da extorsão. De forma simples, usando meios legítimos, ‘hackeámos’ os hackers’”.

As autoridades conseguiram infiltrar-se em julho de 2022, permanecendo de forma discreta nos sistemas do grupo. Ao ceder as chaves de desencriptação às organizações afetadas, as autoridades internacionais estimam que conseguiram impedir que o grupo ganhasse 130 milhões de dólares. Só o FBI forneceu 300 chaves de desencriptação a entidades vítimas do grupo, impedindo pagamentos. Além disso, também foram “distribuídas mais de mil chaves adicionais a vítimas do Hive” em ocasiões interiores a julho de 2022.

O FBI explicou que a investigação levou as autoridades até dois servidores em Los Angeles, nos Estados Unidos, que foram apreendidos, desmantelando a atividade do grupo. Em conjunto com a polícia alemã e com a unidade de cibercrime dos Países Baixos, as autoridades conseguiram controlar os servidores e os sites do grupo. São pelo menos dois sites, que agora apresentam um aviso sobre a operação e os logótipos das diferentes polícias: um destinava-se a pagamentos e o outro à publicidade de dados extorquidos às empresas.

Em que consistiu a participação da Polícia Judiciária nesta operação?

A Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, da Polícia Judiciária, realçou em comunicado que recebeu uma das sessões de trabalho operacional no âmbito desta operação global.

Não é indicado quando é que a sessão decorreu, mas é explicitado que durou uma semana e que contou com “mais de 30 polícias envolvidos na operação, oriundos dos 13 países” participantes nesta investigação. Além de Portugal, também os Países Baixos receberam um encontro operacional do género, indica a Europol.

O resultado desta operação é sinónimo do fim do grupo Hive?

Nem por isso, relatam os especialistas na área da cibersegurança ouvidos pelo Observador. “Foram apreendidos os sites, mas isto é como tudo: dizer que se quebrou um grupo destes é bom, é ótimo, mas não se sabe se se conseguiu terminar com tudo”, diz David Russo.

A partir daqui, defende que só uma “análise minuciosa” poderá determinar melhor o que aconteceu. Mas alguma coisa terá quebrado: “Ou conseguiram terminar o grupo ou só uma parte”. O co-fundador da CyberS3c acredita que possa “existir operações replicadas” que continuem com o trabalho daqui para a frente. É a lógica da criatura mitológica hidra: corta-se uma cabeça mas há muitas outras que continuam a mexer.

Hugo Nunes, da S21Sec, também acredita que esta atividade não terá ficado por aqui. “Pode haver um declínio residual por este grupo ter sido desmantelado, mas vai haver substitutos. Vão montar outros servidores”, exemplifica. “É um cibercrime tão lucrativo que rapidamente vão aparecer substitutos”, acredita. “Certamente não ficará por aqui.”

Interpol diz que crimes financeiros e informáticos são as principais ameaças criminosas