Деятельность Hive пресечена в результате совместной операции 13 стран

Деятельность группировки Hive пресечена в результате совместной операции спецслужб 13 стран. Ключевую роль в прекращении работы сети вымогателя сыграли США, ФРГ и Нидерланды.

Министерство юстиции США сообщило о прекращении работы серверов хакерской группировки Hive после совместной операции правоохранительных органов США и Германии. В результате операции были сорваны требования о выплате $130 млн, которые программа-вымогатель вымогала у сотен жертв по всему миру.

В июле прошлого года сотрудники ФБР проникли на веб-сайт группировки и перехватили 300 ключей дешифрования. Они были переданы жертвам кибератак в 80 странах. В список пострадавших от шифровальщика входили больницы, школы, финансовые компании и объекты критической инфраструктуры. Позже США скоординировали свои действия с правоохранительными органами Германии и Нидерландов. Всего в операции принимали участие представители международных организаций и спецслужб 13 стран.

«Министерство юстиции США приложит все усилия для выяснения и привлечения к ответственности всех, кто использовал программу-вымогатель против компаний страны, — заявил генеральный прокурор Меррик Гарланд на пресс-конференции в Вашингтоне. — Вместе с партнерами мы продолжим работу по поиску и прекращению деятельности преступных групп, причастных к кибератакам вымогателей».

Прекращение работы серверов Hive не приведет к серьезному снижению общей активности программ-вымогателей, но станет «ударом по опасной группировке» и может послать сигнал другим хакерам, заявил вице-президент компании Mandiant Inc. Джон Халтквист.

«Конкуренты Hive будут готовы предложить аналогичную услугу, но они дважды думают, прежде чем разрешить использовать своих программ-вымогателей для атак на больницы», — считает Халтквист. Он полагает, что «Hive, возможно, придется перегруппировать, переоснастить и даже провести ребрендинг».

Ликвидация сети произошла в результате расследования прошлогодней кибератаки. Киберспециалисты из полиции города Эсслинген (ФРГ) проследили путь хакеров до серверов Hive и дали международным партнерам «важную подсказку», говорится в заявлении прокуратуры Штутгарта. Следственная группа во главе со специалистами ФБР проникла в сеть Hive, наблюдала за ее деятельностью и перехватила ключи шифрования.

В четверг на сайте Hive появилось уведомление о том, что ФБР конфисковало его «в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware».

По данным США, деятельность хакерской группировки Hive впервые была зафиксирована в июне 2021 г. За три года русскоязычная группа получила в виде выкупа более $100 млн от 1500 жертв. Действия программ-вымогателей привели к сбоям во всем мире, оказали влияние на работу критически важных объектов в период пандемии Covid-19.

Кибератаки осуществлялись одними киберпреступниками, при этом сама программа-вымогатель Hive создавалась, поддерживалась и обновлялась другими — разработчиками. Хакеры использовали модель двойного вымогательства: они копировали данные, а затем шифровали файлы. После чего требовали выкуп за расшифровку файлов и за то, чтобы не публиковать украденные данные на сайте утечки Hive. Если жертвы кибератаки платили выкуп, доход делился между аффилированными лицами (80%) и разработчиками (20%).

Кибератаки на сети жертв велись разными способами. В ряде случаев хакеры получили доступ к сетям, используя однофакторные логины через протокол удаленного рабочего стола, виртуальные частные сети и другие протоколы удаленного сетевого подключения. В других случаях злоумышленники обходили многофакторную аутентификацию и получали доступ, используя уязвимости, что позволило им входить в систему без запроса второго фактора аутентификации пользователя, изменив регистр имени пользователя. В ряде случаев первоначальный доступ в скомпрометированные сети осуществлялся после рассылки фишинговых электронных писем с вредоносными вложениями, которые активировали сотрудники компаний, раскрывает подробности кибератак заявление Европола.

Жертвами Hive стали Банк Замбии, поставщики медицинских услуг в США, нефтегазовая компания Индонезии, ИТ-компаний и нефтяные транснациональные корпорации в ЕС и США, пишет Bloomberg.

27 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.12.2023
Из магазинов ПО продолжают пропадать приложения российских банков
01.12.2023
RePlay теперь позволяет создавать рекомендательные end-to-end-системы
01.12.2023
Контроль индикаторов — важный этап мониторинга атак на подрядчиков
01.12.2023
«Сегодня ломают всех, даже компании в области безопасности»
30.11.2023
Эволюция кибератак, угроз и инцидентов неразрывно связана с геополитикой
30.11.2023
Тренд сменился: злоумышленники аккумулируют информацию для последующего использования
30.11.2023
Злоумышленники активно проникают в инфраструктуру заказчиков через подрядчиков
30.11.2023
Лукацкий: Мониторинг атак на подрядчиков — тема непростая и многосторонняя
30.11.2023
Компрометация систем удалённого управления при использовании услуг внешнего провайдера
30.11.2023
Компания должна знать своих подрядчиков и грамотно оценивать их степень критичности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных