V případě hackování hackerů byla infrastruktura darknet spojená s operací Hive ransomware-as-a-service (RaaS) zabavena jako součást koordinovaného úsilí vymáhání práva zahrnujícího 13 zemí.
“Donucovací orgány identifikovaly dešifrovací klíče a sdílely je s mnoha oběťmi, což jim pomohlo znovu získat přístup k jejich datům, aniž by museli platit kyberzločincům,” uvedl Europol v prohlášení.
Americké ministerstvo spravedlnosti (DoJ) uvedlo, že Federální úřad pro vyšetřování (FBI) v červenci 2022 skrytě infiltroval databázové servery Hive a zachytil 336 dešifrovacích klíčů, které byly poté předány společnostem kompromitovaným gangem, čímž účinně ušetřily 130 milionů dolarů na platbách výkupného.
FBI také distribuovala více než 1 000 dalších dešifrovacích klíčů předchozím obětem Hive, poznamenal DoJ a uvedl, že agentura získala přístup ke dvěma vyhrazeným serverům a jednomu virtuálnímu soukromému serveru u poskytovatele hostingu v Kalifornii, které byly pronajaty pomocí tří e-mailových adres patřících členům Hive.
Kromě dešifrovacích klíčů odhalilo zkoumání dat ze serverů informace o 250 přidružených společnostech, které jsou stranami rekrutovanými vývojáři, aby identifikovali a nasadili malware pro šifrování souborů proti obětem výměnou za snížení každé úspěšné platby výkupného.
Americké ministerstvo zahraničí v souvisejícím oznámení uvedlo, že nabízí odměny až 10 milionů dolarů za informace, které by mohly pomoci propojit skupinu Hive ransomware (nebo jiné aktéry hrozeb) se zahraničními vládami.
Společnost Hive, která se objevila v červnu 2021, byla plodnou skupinou pro kyberzločin, zahájila útoky proti 1500 organizacím v nejméně 80 zemích a přinesla jí nezákonné zisky ve výši 100 milionů dolarů.
Cílené subjekty pokrývaly širokou škálu vertikál, včetně vládních zařízení, komunikací, kritické výroby, informačních technologií a zdravotnictví.
Podle statistik shromážděných MalwareBytes si Hive v listopadu 2022 vyžádal 11 obětí, čímž se umístil na šestém místě za Royal (45), LockBit (34), ALPHV (19), BianLian (16) a LV (16).
„Někteří aktéři Hive získali přístup k sítím obětí pomocí jednofaktorového přihlášení prostřednictvím protokolu Remote Desktop Protocol, virtuálních privátních sítí a dalších protokolů pro připojení k vzdálené síti,“ vysvětlil Europol.
“V jiných případech aktéři Hive obešli vícefaktorovou autentizaci a získali přístup zneužitím zranitelnosti. To umožnilo škodlivým kyberzločincům přihlásit se bez výzvy k zadání druhého autentizačního faktoru uživatele změnou velikosti písmen v uživatelském jméně.”
Mezinárodní operace se skládala z úřadů z Kanady, Francie, Německa, Irska, Litvy, Nizozemska, Norska, Portugalska, Rumunska, Španělska, Švédska, Spojeného království a USA.
Pokud něco, tento krok pravděpodobně způsobí dočasné narušení provozu Hive a donutí skupinu (sledovanou jako Hive Spider) založit novou infrastrukturu, pokud bude mít v úmyslu pokračovat ve své trestné činnosti pod stejným jménem.
„Zabavení [vyhrazeného místa úniku] a portálu pro vyjednávání s oběťmi je velkou překážkou v operacích protivníka,“ řekl Adam Meyers, šéf zpravodajské služby CrowdStrike.
“Bez přístupu k žádné z těchto stránek se budou muset pobočky Hive Spider spoléhat na jiné způsoby komunikace se svými oběťmi a budou muset najít alternativní způsoby, jak veřejně zveřejňovat údaje o obětech.”
Vzhledem k tomu, že se gangy RaaS neustále rozpouštějí a přeskupují v důsledku akcí činných v trestním řízení, vnitřních sporů nebo geopolitických důvodů, nejnovější akce by mohly mít krátkodobý dopad na ekosystém a dále vést posádky k posílení jejich obrany.
Tento vývoj také přichází v době, kdy se společnosti napadené ransomwarovými útoky stále více odmítají vypořádat, což vede k rekordně nízkým platbám ve čtvrtém čtvrtletí roku 2022. Podle Coveware zaplatilo v roce 2022 výkupné pouze 41 % obětí, ve srovnání s 50 % v roce 2021, 70 % v roce 2020 a 76 % v roce 2019.
„Akce provedené americkými agenturami, aby zevnitř narušily činnost skupiny Hive ransomware, jsou bezprecedentním krokem v boji proti ransomwaru, který stále zůstává největší hrozbou, které dnes většina organizací čelí,“ řekl Satnam Narang, vedoucí výzkumný inženýr společnosti Tenable.
“Ačkoli to může signalizovat konec skupiny ransomwaru Hive, její členové a přidružené společnosti zůstávají hrozbou. Pokud jsme se po minulých rušivých akcích proti skupinám ransomwaru něco naučili, pak to, že povstanou další skupiny, aby zaplnily prázdnotu, která po nich zůstala.”
Přečtěte si více: thehackernews.com