FBI i Europol zaplenili infrastrukturu zloglasne ransomware grupe Hive

Sajber hronika, 27.01.2023, 11:30 AM

Američki FBI i Ministarstvo pravde SAD objavili su da je infrastruktura zloglasne ransomware grupe Hive zaplenjena.

Direktor FBI Kristofer Rej rekao je da su agenti FBI od jula 2022. imali „tajni pristup“ kontrolnom panelu koji su koristili sajber-kriminalci iz grupe Hive, što im je omogućilo da identifikuju više od 1300 žrtava kojima su ponudili ključeve za dešifrovanje i tako sprečili iznudu najmanje 130 miliona dolara.

„Naš istražni tim se zakonito infiltrirao u mrežu grupe Hive i tamo se skrivao mesecima, više puta izvlačeći ključeve za dešifrovanje i prosleđujući ih žrtvama kako bi ih oslobodili od ransomwarea“, rekla je zamenica američkog državnog tužioca Liza Monako tokom konferencije za novinare koja je održana u četvrtak.

„Mesecima smo pomagali žrtvama da pobede svoje napadače i lišili mrežu Hive profita od iznude. Jednostavno rečeno, legalnim sredstvima hakovali smo hakere i srušili njihov poslovni model.”

FBI je saopštio da je Hive, od kada se pojavio u junu 2021. godine, napao 1.500 žrtava u više od 80 zemalja. Američki državni tužilac Merik Garland naveo je desetine konkretnih slučajeva u kojima su uspeli da pomognu žrtvama da se izbore sa napadom ransomwarea, napominjući da je grupa poseban afinitet imala za napade na škole i bolnice tokom pandemije COVID-19, što je veoma neuobičajeno, jer se konkurentske grupe bar pretvaraju da izbegavaju napade na zdravstvene ustanove. Banda je koristila taktiku dvostruke iznude koju često koriste ransomware grupe. Ovo znači da napadači ne samo da šifruju podatke na zaraženim sistemima, već dodatni pritisak na žrtve vrše pretnjom da će javno objaviti podatke koje su ukrali onda kada su se infiltrirali u mrežu.

Grupa je u prvoj godini rada zaradila najmanje 100 miliona dolara.

Rej je rekao da je akcija protiv grupe Hive izvedena u saradnji sa Europolom i nadlženim agencijama u Nemačkoj, Holandiji, Kanadi, Francuskoj, Irskoj, Litvaniji, Norveškoj, Portugaliji, Rumuniji, Španiji, Švedskoj i Velikoj Britaniji. On je objasnio da su u Portugaliji i Holandiji održani operativni sastanci kako bi se podržala operacija i podelili „dostupni podacima za različite slučajeve unutar i izvan EU, i podržala istraga“.

FBI je saopštio da je dao više od 300 ključeva za dešifrovanje žrtvama Hivea koje su trenutno napadnute i preko 1.000 ključeva prethodnim žrtvama.

„Naši napori u ovom slučaju uštedeli su žrtvama preko sto miliona dolara koliko bi platile za otkupnine i verovatno više u troškovima sanacije“, rekli su iz američkog Ministarstva pravde.

Garland je rekao da su odlučili da konačno upadnu u sisteme grupe nakon što su locirali servere u Los Anđelesu koje su sajber-kriminalci koristili za čuvanje važnih informacija. Serveri su zaplenjeni u sredu uveče i ugasili Hiveov darknet sajt. Sada na sajtu grupe stoji obaveštenje o zapleni.

Rej je rekao da su otkrili da je samo oko 20% žrtava prijavilo napade ransomwarea nadležnim institucijama u svojim državama, podsećajući na problem da se žrtve jednostavno ne javljaju policiji i umesto toga plaćaju otkup.

Europol je rekao da je za uspeh Hivea zaslužan model „ransomware-as-a-service”, gde su filijale dobijale 80% otkupnine, a programeri ransomwarea ostalih 20%. Analizom podataka sa servera otkrivene su informacije o 250 saradnika koje su programeri regrutovali i koji su direktno odgovorni za napade i iznudu.

Američki Stejt department je na Twitteru objavio da nudi nagradu od 10 miliona dolara za informacije koje bi mogle da pomognu u povezivanju grupe Hive i drugih sajber-kriminalaca odgovornih za napade na američku kritičnu infrastrukturu sa stranim vladama.

Za sada nisu najavljena nikakva hapšenja, a nadležni nisu želeli da komentarišu da li se ona očekuju. Međutim, Europol je rekao da su četiri stručnjaka raspoređena da „koordiniraju aktivnosti na terenu“.

Rej je rekao novinarima da bi „svako ko je uključen u Hive trebalo da bude zabrinut jer je ova istraga još uvek u toku“. On je dodao da bi se osumnjičeni mogli suočiti sa suđenjem u SAD ili u Evropi.

Direktor FBI je rekao i da je ovaj slučaj jedinstven jer je FBI nikada nije imao ovakav pristup infrastrukturi neke ransomware grupe, koji im je omogućio da pomognu ogromnom broju žrtava.

Ova akcija znači kraj za Hive, ali to retko kada ima uticaja na ljude koji su članovi ovakvih bandi. Zapravo se najčešće događa da isti ljudi nastavljaju da rade pod drugim imenom. Tako su članovi zloglasne ransomware grupe Conti oformili novu grupu pod nazivom BlackBasta, dok je ransomware grupa DarkSide najpre postala BlackMatter, da bi kasnije naziv grupe bio promenjen u BlackCat/ALPHV.

Grupa Hive je bila među najaktivnijim grupama u 2022. Prema podacima koje je objavio Intel471, ona je zaslužna za oko 9% prijavljenih napada ransomware u trećem kvartalu prošle godine.