Деятельность группировки Hive пресечена в результате совместной операции спецслужб 13 стран. Ключевую роль в прекращении работы сети вымогателя сыграли США, ФРГ и Нидерланды.
Министерство юстиции США сообщило о прекращении работы серверов хакерской группировки Hive после совместной операции правоохранительных органов США и Германии. В результате операции были сорваны требования о выплате $130 млн, которые программа-вымогатель вымогала у сотен жертв по всему миру.
В июле прошлого года сотрудники ФБР проникли на веб-сайт группировки и перехватили 300 ключей дешифрования. Они были переданы жертвам кибератак в 80 странах. В список пострадавших от шифровальщика входили больницы, школы, финансовые компании и объекты критической инфраструктуры. Позже США скоординировали свои действия с правоохранительными органами Германии и Нидерландов. Всего в операции принимали участие представители международных организаций и спецслужб 13 стран.
«Министерство юстиции США приложит все усилия для выяснения и привлечения к ответственности всех, кто использовал программу-вымогатель против компаний страны, — заявил генеральный прокурор Меррик Гарланд на пресс-конференции в Вашингтоне. — Вместе с партнерами мы продолжим работу по поиску и прекращению деятельности преступных групп, причастных к кибератакам вымогателей».
Прекращение работы серверов Hive не приведет к серьезному снижению общей активности программ-вымогателей, но станет «ударом по опасной группировке» и может послать сигнал другим хакерам, заявил вице-президент компании Mandiant Inc. Джон Халтквист.
«Конкуренты Hive будут готовы предложить аналогичную услугу, но они дважды думают, прежде чем разрешить использовать своих программ-вымогателей для атак на больницы», — считает Халтквист. Он полагает, что «Hive, возможно, придется перегруппировать, переоснастить и даже провести ребрендинг».
Ликвидация сети произошла в результате расследования прошлогодней кибератаки. Киберспециалисты из полиции города Эсслинген (ФРГ) проследили путь хакеров до серверов Hive и дали международным партнерам «важную подсказку», говорится в заявлении прокуратуры Штутгарта. Следственная группа во главе со специалистами ФБР проникла в сеть Hive, наблюдала за ее деятельностью и перехватила ключи шифрования.
В четверг на сайте Hive появилось уведомление о том, что ФБР конфисковало его «в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware».
По данным США, деятельность хакерской группировки Hive впервые была зафиксирована в июне 2021 г. За три года русскоязычная группа получила в виде выкупа более $100 млн от 1500 жертв. Действия программ-вымогателей привели к сбоям во всем мире, оказали влияние на работу критически важных объектов в период пандемии Covid-19.
Кибератаки осуществлялись одними киберпреступниками, при этом сама программа-вымогатель Hive создавалась, поддерживалась и обновлялась другими — разработчиками. Хакеры использовали модель двойного вымогательства: они копировали данные, а затем шифровали файлы. После чего требовали выкуп за расшифровку файлов и за то, чтобы не публиковать украденные данные на сайте утечки Hive. Если жертвы кибератаки платили выкуп, доход делился между аффилированными лицами (80%) и разработчиками (20%).
Кибератаки на сети жертв велись разными способами. В ряде случаев хакеры получили доступ к сетям, используя однофакторные логины через протокол удаленного рабочего стола, виртуальные частные сети и другие протоколы удаленного сетевого подключения. В других случаях злоумышленники обходили многофакторную аутентификацию и получали доступ, используя уязвимости, что позволило им входить в систему без запроса второго фактора аутентификации пользователя, изменив регистр имени пользователя. В ряде случаев первоначальный доступ в скомпрометированные сети осуществлялся после рассылки фишинговых электронных писем с вредоносными вложениями, которые активировали сотрудники компаний, раскрывает подробности кибератак заявление Европола.
Жертвами Hive стали Банк Замбии, поставщики медицинских услуг в США, нефтегазовая компания Индонезии, ИТ-компаний и нефтяные транснациональные корпорации в ЕС и США, пишет Bloomberg.