De Nederlandse politie heeft samen met de Duitse en Amerikaanse autoriteiten de servers van de Hive-ransomware offline gehaald en meerdere decryptiesleutels bemachtigd waarmee slachtoffers hun data kosteloos kunnen ontsleutelen. Dat laat Europol vandaag weten.

Vorig jaar november meldde de FBI nog dat de criminelen achter de Hive-ransomware 100 miljoen dollar losgeld van getroffen organisaties hadden ontvangen. Onder andere elektronicaketen MediaMarkt werd slachtoffer van de Hive-ransomware alsmede een grote Amerikaanse zorgverlener.

De Hive-ransomware hanteert een Ransomware-as-a-Service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de Hive-ransomware worden verschillende methodes gebruikt.

Voordat de ransomware overgaat tot het versleutelen van data maakten partners van de ransomwaregroep eerst allerlei gegevens van het getroffen netwerk buit. Als slachtoffers het gevraagde losgeld niet betaalden werd gedreigd de gestolen data via de website van de Hive-ontwikkelaars openbaar te maken. Wanneer slachtoffers betaalden ging tachtig procent van het losgeld naar de partner die voor de infectie verantwoordelijk was en twintig procent naar de Hive-ontwikkelaars.

De website van de Hive-ontwikkelaars draaide op het Tor-netwerk, waardoor het ip-adres van de servers onbekend is. Autoriteiten zijn er echter toch in geslaagd de locatie van de servers te achterhalen en die vervolgens uit te schakelen. Bij de operatie werden ook meerdere decryptiesleutels gevonden. De Hive-website laat nu onderstaande melding zien dat die in beslag is genomen.