Деятельность Hive пресечена в результате совместной операции 13 стран

Деятельность группировки Hive пресечена в результате совместной операции спецслужб 13 стран. Ключевую роль в прекращении работы сети вымогателя сыграли США, ФРГ и Нидерланды.

Министерство юстиции США сообщило о прекращении работы серверов хакерской группировки Hive после совместной операции правоохранительных органов США и Германии. В результате операции были сорваны требования о выплате $130 млн, которые программа-вымогатель вымогала у сотен жертв по всему миру.

В июле прошлого года сотрудники ФБР проникли на веб-сайт группировки и перехватили 300 ключей дешифрования. Они были переданы жертвам кибератак в 80 странах. В список пострадавших от шифровальщика входили больницы, школы, финансовые компании и объекты критической инфраструктуры. Позже США скоординировали свои действия с правоохранительными органами Германии и Нидерландов. Всего в операции принимали участие представители международных организаций и спецслужб 13 стран.

«Министерство юстиции США приложит все усилия для выяснения и привлечения к ответственности всех, кто использовал программу-вымогатель против компаний страны, — заявил генеральный прокурор Меррик Гарланд на пресс-конференции в Вашингтоне. — Вместе с партнерами мы продолжим работу по поиску и прекращению деятельности преступных групп, причастных к кибератакам вымогателей».

Прекращение работы серверов Hive не приведет к серьезному снижению общей активности программ-вымогателей, но станет «ударом по опасной группировке» и может послать сигнал другим хакерам, заявил вице-президент компании Mandiant Inc. Джон Халтквист.

«Конкуренты Hive будут готовы предложить аналогичную услугу, но они дважды думают, прежде чем разрешить использовать своих программ-вымогателей для атак на больницы», — считает Халтквист. Он полагает, что «Hive, возможно, придется перегруппировать, переоснастить и даже провести ребрендинг».

Ликвидация сети произошла в результате расследования прошлогодней кибератаки. Киберспециалисты из полиции города Эсслинген (ФРГ) проследили путь хакеров до серверов Hive и дали международным партнерам «важную подсказку», говорится в заявлении прокуратуры Штутгарта. Следственная группа во главе со специалистами ФБР проникла в сеть Hive, наблюдала за ее деятельностью и перехватила ключи шифрования.

В четверг на сайте Hive появилось уведомление о том, что ФБР конфисковало его «в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware».

По данным США, деятельность хакерской группировки Hive впервые была зафиксирована в июне 2021 г. За три года русскоязычная группа получила в виде выкупа более $100 млн от 1500 жертв. Действия программ-вымогателей привели к сбоям во всем мире, оказали влияние на работу критически важных объектов в период пандемии Covid-19.

Кибератаки осуществлялись одними киберпреступниками, при этом сама программа-вымогатель Hive создавалась, поддерживалась и обновлялась другими — разработчиками. Хакеры использовали модель двойного вымогательства: они копировали данные, а затем шифровали файлы. После чего требовали выкуп за расшифровку файлов и за то, чтобы не публиковать украденные данные на сайте утечки Hive. Если жертвы кибератаки платили выкуп, доход делился между аффилированными лицами (80%) и разработчиками (20%).

Кибератаки на сети жертв велись разными способами. В ряде случаев хакеры получили доступ к сетям, используя однофакторные логины через протокол удаленного рабочего стола, виртуальные частные сети и другие протоколы удаленного сетевого подключения. В других случаях злоумышленники обходили многофакторную аутентификацию и получали доступ, используя уязвимости, что позволило им входить в систему без запроса второго фактора аутентификации пользователя, изменив регистр имени пользователя. В ряде случаев первоначальный доступ в скомпрометированные сети осуществлялся после рассылки фишинговых электронных писем с вредоносными вложениями, которые активировали сотрудники компаний, раскрывает подробности кибератак заявление Европола.

Жертвами Hive стали Банк Замбии, поставщики медицинских услуг в США, нефтегазовая компания Индонезии, ИТ-компаний и нефтяные транснациональные корпорации в ЕС и США, пишет Bloomberg.

27 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс
16.01.2025
Управляй киберрисками, защищая DNS. Компания Servicepipe обновила продукт Secure DNS Hosting
15.01.2025
Минцифры, вендоры и эксперты обсуждают будущее отечественного «опенсорса»
15.01.2025
От «Яндекса» до Rutube. Кто упал из-за январского нарушения связности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных