Банда Hive розбита
На прес-конференції, скликаній з цієї нагоди, Міністерство юстиції США оголосило, що агентам ФБР вдалося знищити сумнозвісну банду Hive і таким чином звести нанівець її вимагачі кампанії на суму 130 мільйонів доларів.
Міністерство оборони стверджує, що проникло в мережу групи Hive і стало свідком злочинної діяльності групи зсередини.
«Ми просто зламали хакерів законними методами», — заявила під час брифінгу заступник генпрокурора Ліза Монако.
Вторгнення ФБР відбулося в липні 2022 року, і з того часу ФБР вдалося заволодіти 300 ключами розшифровки файлів, що належать компаніям, які стали жертвами вимагання програм-вимагачів. Це дозволило підприємствам отримати назад свої дані без необхідності платити викуп. За даними ФБР, лише 20% підприємств повідомили, що стали жертвами атаки програм-вимагачів.
Група Hive має тривалий послужний список, і, за даними Міністерства юстиції, вона відповідала за напади на понад 1.500 жертв у понад 80 країнах світу.
Після 6 місяців спостереження за злочинною діяльністю ФБР змогло заволодіти великою кількістю інформації, в тому числі про місцезнаходження серверів, на яких розміщена мережа, розташованих у Німеччині та Голландії. У співпраці з місцевими слідчими вони вивели сервери з експлуатації.
За словами Монако, «ми зламали бізнес-модель Hive, змінивши положення». За даними ФБР, Hive був однією з п’яти найпопулярніших програм-вимагачів у світі. За даними Міністерства юстиції, з червня 2021 року жертви Hive заплатили понад 100 мільйонів доларів у вигляді викупу.
Великий бізнес RaaS
Бізнес-модель Hive — програмне забезпечення-вимагач як послуга (RaaS). Адміністратори Hive створюють різновид програм-вимагачів, розробляють простий у користуванні інтерфейс для контролю над ними, а потім залучають афілійованих осіб, яким вони продають цю послугу, щоб поширювати її серед жертв. Афілійовані особи, сплативши вступний внесок, отримують панель керування, яка дозволяє їм здійснювати атаки навіть без великих технічних знань. Розподіл будь-якого прибутку відбувається у розмірі 80% для філії та 20% для Hive.
Жертви, які постраждали від програм-вимагачів, можуть спілкуватися з вимагачами Hive через веб-сайт Hive у Dark Web.У цей момент співрозмовники Hive вступають у переговори з жертвами, формулюють вимогу викупу (зазвичай у біткойнах або «іншій криптовалюті) за 1% компанії річного доходу та продемонструвати свою участь в атаці, надавши зразки файлів або дешифратор для невеликої підмножини зашифрованих файлів.
Здирники Hive використовували стратегію атаки подвійного вимагання. Афілійована особа викрала або викрала конфіденційну інформацію перед тим, як зашифрувати файли. Потім афілійована особа вимагала оплату в обмін на обіцянку не розголошувати вкрадені дані та надати ключ дешифрування, необхідний для розблокування системи жертви. Щоб додатково стимулювати платежі, афілійовані особи зазвичай націлювалися на найбільш конфіденційну інформацію системи жертви. У випадку з публічною компанією вони погрожували надіслати дані до Комісії з обміну цінними паперами SEC.
Однак, коли жертви відмовилися платити, адміністратори Hive опублікували вкрадені дані на сайті «HiveLeaks».
Чума програм-вимагачів
Агентство кібербезпеки та безпеки інфраструктури США (CISA) стверджує, що філії використовують такі методи, як фішинг електронної пошти, використання лазівок автентифікації FortiToken і доступ до корпоративних VPN і віддалених робочих столів (через RDP), які захищені лише однофакторною автентифікацією.
Потрапляючи в комп’ютерну систему жертви, вони зазвичай починають вимикати будь-яке програмне забезпечення безпеки, шифрувати дані та створювати зашифровані каталоги з приміткою про викуп HOW TO DECRYPT.txt, яка містить посилання, за яким жертви переходять на веб-сайт чату Hive для обговорення приміток про викуп.
За даними ФБР, з червня 2021 року група Hive напала на понад 1.500 жертв по всьому світу.
У травні 2022 року Hive здійснив серйозну атаку на службу охорони здоров’я Коста-Ріки. Лише кілька місяців тому президент Коста-Ріки оголосив надзвичайний стан у країні після нападу російської банди Conti. Пізніше банда Конті розпалася, дехто каже, що це сталося через винагороду в 15 мільйонів доларів, призначену урядом США. Але, на думку інших оглядачів, нібито «розпуск» банди Конті натомість підкоряється потребі в інтернаціоналізації в загальному контексті російсько-української війни. Таким чином, хакери Конті не вийшли б із бізнесу, а об’єдналися б у менші групи Raas, такі як Hive, Avos Locker, Black Cat і Black Byte, з метою створення великих груп із «вогневими» можливостями для нападу на великі цілі.
Чи є у RaaS майбутнє?
Серед найвідоміших атак Hive – Media Markt, європейський роздрібний продавець побутової електроніки, Emily Frey, європейський дилер автомобілів, Memorial Healthcare System у США, будівельна компанія Sando в Іспанії. Станом на липень 2022 року Hive входив до топ-5 найактивніших банд-вимагачів, які діяли переважно в Північній Америці та Європі, за якими йдуть Південна Америка, Азія та Близький Схід.
ФБР знищило мережу Hive, але нікого не арештувало. Що будуть робити члени банди? За словами Джима Сімпсона, директора відділу розвідки загроз британської компанії Searchlight Cyber, хакери Hive «незабаром утвердилися б під іншим іменем або були б завербовані в інші банди RaaS».
Однак Сімпсон привітав дії ФБР, зазначивши, що «в обох випадках операція призвела до значних витрат на діяльність Hive».