ФБР успя да неутрализира Hive – група занимаваща се с крипто откупи

Министерството на правосъдието обяви за акция, довела до прекратяване на действията на групата занимаваща се с крипто откупи - Hive.

Според информацията към края на юли 2022 г. ФБР са успяли да проникнат в компютърните мрежи на Hive, намирали са ключовете за декриптиране и са ги връщали на жертвите по целия свят, като по този начин са предотвратили даването на откупи от страна на жервтите в размер на $130 милиона.

От юли 2022 г. ФБР е предоставило над 300 ключа за декриптиране на жертвите на Hive, които са били обект на атака. Освен това бюрото е разпространило над 1,000 допълнителни ключа за декриптиране на предишни жертви на нападателите.

Отделът обяви още, че – заедно с Федералната криминална полиция на Германия и полицейското управление в Ройтлинген (CID Esslingen) и Националното звено за борба с престъпленията в областта на високите технологии на Нидерландия – е поел контрола над сървърите и уеб сайтовете, които Hive използва за комуникация с членовете си, прекъсвайки способността на групата да атакува и изнудва потенциални жертви.

От юни 2021 г. насам групата е изнудила повече от 1,500 жертви в над 80 държави по целия свят включително болници, училищни райони, финансови компании и критична инфраструктура и е получила над $100 милиона под формата на откупи.

Атаките на Hive са причинили сериозни смущения в ежедневните операции на жертвите по света. В един от случаите болница, атакувана от групата е трябвало да прибегне до аналогови методи за лечение на съществуващи пациенти и не е могла да приема нови пациенти веднага след атаката.

Какви методи е използвала групата?

Hive използва “ransomware-as-a-service” (RaaS) модел, включващ администратори, понякога наричани разработчици и филиали (помощници). RaaS е модел на абонаментна основа, при който разработчиците или администраторите разработват щам на RaaS и създават лесен за използване интерфейс, с който да го управляват, а след това набират помощници, които да разгърнат модела срещу жертвите.

---

ПРОЧЕТИ ОЩЕ: Биткойн: 60% от финансовите съветници са с бичи настроения

---

Преди да криптира системата на жертвата, помощникът краде чувствителни данни. След това той иска откуп както за ключа за декриптиране, необходим за отключване на системата на жертвата, така и за обещание да не публикува откраднатите данни.

Нападателите често се насочват към най-чувствителните данни в системата на жертвата, за да увеличат възможността за плащане на откуп. След като жертвата плати, партньорите и администраторите си поделят откупа в съотношение 80/20. Hive публикува данните на жертвите, които не плащат, на сайта си за изтичане на данни.

Според Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) помощниците на Hive са получили първоначален достъп до мрежите на жертвите чрез редица методи, включително: еднофакторни влизания чрез протокола за отдалечен работен плот (RDP), виртуални частни мрежи (VPN) и други протоколи за отдалечена мрежова връзка; използване на уязвимостите на FortiToken и изпращане на фишинг имейли със злонамерени прикачени файлове.