Деятельность Hive пресечена в результате совместной операции 13 стран

Деятельность группировки Hive пресечена в результате совместной операции спецслужб 13 стран. Ключевую роль в прекращении работы сети вымогателя сыграли США, ФРГ и Нидерланды.

Министерство юстиции США сообщило о прекращении работы серверов хакерской группировки Hive после совместной операции правоохранительных органов США и Германии. В результате операции были сорваны требования о выплате $130 млн, которые программа-вымогатель вымогала у сотен жертв по всему миру.

В июле прошлого года сотрудники ФБР проникли на веб-сайт группировки и перехватили 300 ключей дешифрования. Они были переданы жертвам кибератак в 80 странах. В список пострадавших от шифровальщика входили больницы, школы, финансовые компании и объекты критической инфраструктуры. Позже США скоординировали свои действия с правоохранительными органами Германии и Нидерландов. Всего в операции принимали участие представители международных организаций и спецслужб 13 стран.

«Министерство юстиции США приложит все усилия для выяснения и привлечения к ответственности всех, кто использовал программу-вымогатель против компаний страны, — заявил генеральный прокурор Меррик Гарланд на пресс-конференции в Вашингтоне. — Вместе с партнерами мы продолжим работу по поиску и прекращению деятельности преступных групп, причастных к кибератакам вымогателей».

Прекращение работы серверов Hive не приведет к серьезному снижению общей активности программ-вымогателей, но станет «ударом по опасной группировке» и может послать сигнал другим хакерам, заявил вице-президент компании Mandiant Inc. Джон Халтквист.

«Конкуренты Hive будут готовы предложить аналогичную услугу, но они дважды думают, прежде чем разрешить использовать своих программ-вымогателей для атак на больницы», — считает Халтквист. Он полагает, что «Hive, возможно, придется перегруппировать, переоснастить и даже провести ребрендинг».

Ликвидация сети произошла в результате расследования прошлогодней кибератаки. Киберспециалисты из полиции города Эсслинген (ФРГ) проследили путь хакеров до серверов Hive и дали международным партнерам «важную подсказку», говорится в заявлении прокуратуры Штутгарта. Следственная группа во главе со специалистами ФБР проникла в сеть Hive, наблюдала за ее деятельностью и перехватила ключи шифрования.

В четверг на сайте Hive появилось уведомление о том, что ФБР конфисковало его «в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware».

По данным США, деятельность хакерской группировки Hive впервые была зафиксирована в июне 2021 г. За три года русскоязычная группа получила в виде выкупа более $100 млн от 1500 жертв. Действия программ-вымогателей привели к сбоям во всем мире, оказали влияние на работу критически важных объектов в период пандемии Covid-19.

Кибератаки осуществлялись одними киберпреступниками, при этом сама программа-вымогатель Hive создавалась, поддерживалась и обновлялась другими — разработчиками. Хакеры использовали модель двойного вымогательства: они копировали данные, а затем шифровали файлы. После чего требовали выкуп за расшифровку файлов и за то, чтобы не публиковать украденные данные на сайте утечки Hive. Если жертвы кибератаки платили выкуп, доход делился между аффилированными лицами (80%) и разработчиками (20%).

Кибератаки на сети жертв велись разными способами. В ряде случаев хакеры получили доступ к сетям, используя однофакторные логины через протокол удаленного рабочего стола, виртуальные частные сети и другие протоколы удаленного сетевого подключения. В других случаях злоумышленники обходили многофакторную аутентификацию и получали доступ, используя уязвимости, что позволило им входить в систему без запроса второго фактора аутентификации пользователя, изменив регистр имени пользователя. В ряде случаев первоначальный доступ в скомпрометированные сети осуществлялся после рассылки фишинговых электронных писем с вредоносными вложениями, которые активировали сотрудники компаний, раскрывает подробности кибератак заявление Европола.

Жертвами Hive стали Банк Замбии, поставщики медицинских услуг в США, нефтегазовая компания Индонезии, ИТ-компаний и нефтяные транснациональные корпорации в ЕС и США, пишет Bloomberg.

27 января, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

20.03.2023
Важно соблюсти баланс между обеспечением ИБ и производительностью сотрудников
20.03.2023
Мошенники активно звонят через мессенджеры, потому что могут изменить профиль звонящего
20.03.2023
Хакеры из KillNet бьют по американской отрасли здравоохранения
20.03.2023
Банкирам запретят использовать зарубежные сервисы при переводах по России
20.03.2023
67% ритейлеров столкнулись с утечками информации в 2022 году
17.03.2023
Молод, чист и не судим, активный пользователь Интернета
17.03.2023
«Уралсиб» подвергся хакерской атаке
17.03.2023
«Лаборатория Касперского»: Продажи в даркнете снова набирают обороты
17.03.2023
Пришла очередь Google Play. Какие российские банки пропали из маркетплейса ПО
17.03.2023
«В комплексе эта ситуация может увеличить риски рецессии»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных