Hackersdienst Hive uit de lucht gehaald, ruim 100 miljoen aan schade voorkomen

Hive is een zogenaamd ‘ransomware-as-a-service’ (RaaS) model. De makers van de gijzelsoftware geven hun software in bruikleen aan andere hackers, die met de Hive software op zoek gaan naar slachtoffers. Deze ‘affiliates’ infliltreren netwerken van enige omvang (o.a. scholen, ziekenhuizen en bedrijven) en vervolgens verwijderen zij alle logs en versleutelen zij alle bestanden. Het enige dat de hackers laten staan in een tekst-bestand met de naam HOW_TO_DECRYPT.txt. Hierin staat de informatie die nodig is om in contact te komen met de hackers en de bestanden te ontsleutelen. Voor het ontsleutelen van de bestanden wordt losgeld geeist (de ransom), die betaald moet worden in cryptocurrencies. Bij betaling houdt Hive 20% van het losgeld in voor de ‘geleverde service’. Wordt er niet betaald, dan worden de data van het slachtoffer op hiveleaks gepubliceerd

Hive bestond relatief kort maar was extreem effectief; sinds juni 2021 is er ruim $100 miljoen verdiend met geslaagde aanvallen op ruim 1500 slachtoffers in zo’n 80 landen. Vanwege de omvang van Hive stond de gijzelsoftware in de top-5 ransomware dreigingen van de Amerikaanse FBI.

Hackers gehackt

In een gezamenlijke operatie van internationale politiediensten konden de servers van Hive in juli 2022 worden binnengedrongen. ‘We hebben de hackers gehackt’, zei plaatsvervangend procureur-generaal Lisa Monaco tijdens de persconferentie eind vorige week. De politiediensten kregen hierbij een kijkje in de keuken van een van de grootste hacking services. Met eigen ogen konden zij zien hoe de hackers te werk gingen en zij zagen ook de ontsleutelingscodes op de servers geplaatst worden. 

Doordat de politiediensten deze codes óók zagen, kon in tijdsbestek van een half jaar worden voorkomen dat 300 slachtoffers betaalden voor de ontsleuteling van hun netwerken. De politiediensten zagen wat er gebeurde, volgden de gesprekken tussen de hackers en de slachtoffers en vervolgens namen de politiediensten contact op met het slachtoffer met de boodschap ‘niet betalen’. De slachtoffers stopten de onderhandeling en de politie verstrekte de code om de ontsleuteling in gang te zetten. 

Het is nog niet duidelijk welke Nederlandse instellingen op deze manier zijn ontkomen aan het betalen van losgeld, maar vermoedelijk is dierentuin Artis er daar een van. Monaco heeft ter illustratie wel een aantal Amerikaanse voorbeelden gegeven: een school in Texas hoefde door toedoen van de politiediensten geen $5 miljoen losgeld te betalen, een ziekenhuis is de staat Louisiana ‘bespaarde’ $3 miljoen. ‘Wij hebben de rollen van Hive omgedraaid en hun bedrijfsmodel kapot gemaakt’, aldus Monaco. In totaal heeft deze internationale politieactie ervoor gezorgd dat er $130 miljoen aan losgeld niet hoefde te worden betaald.