Деятельность Hive пресечена в результате совместной операции 13 стран

Деятельность группировки Hive пресечена в результате совместной операции спецслужб 13 стран. Ключевую роль в прекращении работы сети вымогателя сыграли США, ФРГ и Нидерланды.

Министерство юстиции США сообщило о прекращении работы серверов хакерской группировки Hive после совместной операции правоохранительных органов США и Германии. В результате операции были сорваны требования о выплате $130 млн, которые программа-вымогатель вымогала у сотен жертв по всему миру.

В июле прошлого года сотрудники ФБР проникли на веб-сайт группировки и перехватили 300 ключей дешифрования. Они были переданы жертвам кибератак в 80 странах. В список пострадавших от шифровальщика входили больницы, школы, финансовые компании и объекты критической инфраструктуры. Позже США скоординировали свои действия с правоохранительными органами Германии и Нидерландов. Всего в операции принимали участие представители международных организаций и спецслужб 13 стран.

«Министерство юстиции США приложит все усилия для выяснения и привлечения к ответственности всех, кто использовал программу-вымогатель против компаний страны, — заявил генеральный прокурор Меррик Гарланд на пресс-конференции в Вашингтоне. — Вместе с партнерами мы продолжим работу по поиску и прекращению деятельности преступных групп, причастных к кибератакам вымогателей».

Прекращение работы серверов Hive не приведет к серьезному снижению общей активности программ-вымогателей, но станет «ударом по опасной группировке» и может послать сигнал другим хакерам, заявил вице-президент компании Mandiant Inc. Джон Халтквист.

«Конкуренты Hive будут готовы предложить аналогичную услугу, но они дважды думают, прежде чем разрешить использовать своих программ-вымогателей для атак на больницы», — считает Халтквист. Он полагает, что «Hive, возможно, придется перегруппировать, переоснастить и даже провести ребрендинг».

Ликвидация сети произошла в результате расследования прошлогодней кибератаки. Киберспециалисты из полиции города Эсслинген (ФРГ) проследили путь хакеров до серверов Hive и дали международным партнерам «важную подсказку», говорится в заявлении прокуратуры Штутгарта. Следственная группа во главе со специалистами ФБР проникла в сеть Hive, наблюдала за ее деятельностью и перехватила ключи шифрования.

В четверг на сайте Hive появилось уведомление о том, что ФБР конфисковало его «в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware».

По данным США, деятельность хакерской группировки Hive впервые была зафиксирована в июне 2021 г. За три года русскоязычная группа получила в виде выкупа более $100 млн от 1500 жертв. Действия программ-вымогателей привели к сбоям во всем мире, оказали влияние на работу критически важных объектов в период пандемии Covid-19.

Кибератаки осуществлялись одними киберпреступниками, при этом сама программа-вымогатель Hive создавалась, поддерживалась и обновлялась другими — разработчиками. Хакеры использовали модель двойного вымогательства: они копировали данные, а затем шифровали файлы. После чего требовали выкуп за расшифровку файлов и за то, чтобы не публиковать украденные данные на сайте утечки Hive. Если жертвы кибератаки платили выкуп, доход делился между аффилированными лицами (80%) и разработчиками (20%).

Кибератаки на сети жертв велись разными способами. В ряде случаев хакеры получили доступ к сетям, используя однофакторные логины через протокол удаленного рабочего стола, виртуальные частные сети и другие протоколы удаленного сетевого подключения. В других случаях злоумышленники обходили многофакторную аутентификацию и получали доступ, используя уязвимости, что позволило им входить в систему без запроса второго фактора аутентификации пользователя, изменив регистр имени пользователя. В ряде случаев первоначальный доступ в скомпрометированные сети осуществлялся после рассылки фишинговых электронных писем с вредоносными вложениями, которые активировали сотрудники компаний, раскрывает подробности кибератак заявление Европола.

Жертвами Hive стали Банк Замбии, поставщики медицинских услуг в США, нефтегазовая компания Индонезии, ИТ-компаний и нефтяные транснациональные корпорации в ЕС и США, пишет Bloomberg.

27 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.05.2024
ЛК: Нежелание персонала соблюдать правила ИБ открывает дверь хакерам
17.05.2024
«Тинькофф Банк» приходит третьим в QR-зачёте
17.05.2024
Тянет на срок. ВТБ — о новой мошеннической схеме с «пластиком»
17.05.2024
Microsoft всё же начала отключать корпоративную Россию от «облаков»
16.05.2024
ИБ и ЕГЭ. Почему каждому абитуриенту нужно быть немного безопасником
16.05.2024
Продажа «симок» через «Госключ» и «Почту России». Что ещё в пакете?
16.05.2024
Ещё два российских финсервиса поделятся данными с властями
16.05.2024
В Британии запустили открытую платформу для тестирования ИИ
16.05.2024
Клиентов хостинг-провайдеров идентифицируют через «Госуслуги»
15.05.2024
«Важно выстроить единую систему подготовки кадров в области ИБ-образования»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных