ФБР зламало хакерську програму-вимагач, заощадивши жертвам 130 мільйонів доларів

Дмитро Сизов

Цього тижня Міністерство юстиції оголосило, що агенти ФБР успішно зламали Hive, сумнозвісну групу програм-вимагачів, і запобігли кампаніям викупу на суму 130 мільйонів доларів, які жертвам більше не потрібно було платити. 

00.png (211 KB)

Стверджуючи, що група Hive відповідальна за націлювання на понад 1500 жертв у понад 80 країнах світу, департамент тепер виявляє, що вона проникла в мережу групи протягом кількох місяців, перш ніж працювати з офіційними особами Німеччини та Нідерландів, щоб цього тижня закрити сервери та веб-сайти Hive.

«Простіше кажучи, використовуючи законні засоби, ми зламали хакерів», — зазначила під час прес-конференції заступник генпрокурора Ліза Монако .

ФБР стверджує, що, приховано зламавши сервери Hive, воно змогло тихо вихопити понад 300 ключів дешифрування та передати їх жертвам, чиї дані були заблоковані групою. Генеральний прокурор США Меррік Гарленд у своїй заяві зазначив, що протягом останніх кількох місяців ФБР використовувало ці ключі розшифровки, щоб розблокувати шкільний округ Техасу, якому загрожує викуп у розмірі 5 мільйонів доларів, лікарню Луїзіани, яку вимагали 3 мільйони доларів, і неназвану компанію громадського харчування. компанії, якій загрожує викуп у 10 мільйонів доларів.

«Ми перевернули столи щодо Hive і зруйнували їхню бізнес-модель», — сказав Монако. ФБР вважало Hive п’ятіркою найпопулярніших програм-вимагачів. За даними Міністерства юстиції, з червня 2021 року Hive отримав від своїх жертв понад 100 мільйонів доларів викупу.

Модель Hive «програми-вимагачі як послуга (RaaS)» передбачає створення та продаж програм-вимагачів, а потім залучення «афілійованих осіб» для їх розгортання, при цьому адміністратори Hive отримують 20-відсоткове скорочення будь-яких доходів і публікують викрадені дані на Сайт «HiveLeaks», якщо хтось відмовився платити. Згідно з даними Агентства кібербезпеки та безпеки інфраструктури США (CISA), афілійовані особи використовують такі методи, як фішинг електронної пошти, використання вразливостей автентифікації FortiToken і отримання доступу до корпоративних VPN і віддалених робочих столів (за допомогою RDP), які захищені лише однофакторним входом.

Попередження CISA від листопада пояснює, як ці атаки спрямовані на підприємства та організації, які використовують власні сервери Microsoft Exchange. Код, наданий їхнім афілійованим особам, використовує переваги відомих експлойтів, як-от CVE-2021-31207 , які, незважаючи на виправлення з 2021 року, часто залишаються вразливими, якщо не було застосовано відповідні засоби захисту.

Після того, як вони ввійшли, вони використовують власні протоколи керування мережею організації, щоб вимкнути будь-яке програмне забезпечення безпеки, видалити журнали, зашифрувати дані та, звісно, ​​залишити запис про викуп HOW_TO_DECRYPT.txt у зашифрованих каталогах, які з’єднують жертв до панелі живого чату, щоб обговорити вимоги щодо викупу.

Hive — це найбільша група програм-вимагачів, яку федерали знищили після REvil у 2021 році — вона відповідальна за витік схем MacBook від постачальника Apple, а також найбільшого у світі постачальника м’яса . А на початку того ж року такі групи, як DarkSide, успішно пішли з виплатою в розмірі 4,4 мільйона доларів після проникнення в системи Colonial Pipeline в результаті інциденту, який спричинив різке зростання цін на газ у країні. Однак найдорожчою атакою програмного забезпечення-вимагача, яка була оприлюднена, є страхова компанія CNA Financial, яка в підсумку заплатила хакерам 40 мільйонів доларів .

Під час перевірки Hive ФБР виявило понад 1000 ключів шифрування, пов’язаних із попередніми жертвами групи, а директор ФБР Крістофер Рей зазначив, що лише 20 відсотків виявлених жертв зверталися до ФБР за допомогою. Багато жертв атак програм-вимагачів утримуються від зв’язку з ФБР, побоюючись наслідків з боку хакерів і перевірки в їхніх галузях за неспроможність захистити себе.

Проте, оскільки хакери отримують зарплату, це дає індустрії програм-вимагачів стимул для подальшої роботи. ФБР сподівається, що зможе переконати більше жертв виступити та працювати з ними замість того, щоб піддаватися вимогам. «Коли жертва робить крок вперед, це може мати велике значення для повернення вкрадених коштів або отримання ключів дешифратора», — сказав Монако.