U slučaju hakovanja hakera, Darknet infrastruktura povezana s operacijom Hive ransomware-as-a-service (RaaS) zaplijenjena je kao dio koordinisanih napora za provođenje zakona koji uključuju 13 zemalja.
“Službe za provođenje zakona identifikovale su ključeve za dešifrovanje i podijelile ih sa mnogim žrtvama, pomažući im da povrate pristup svojim podacima bez plaćanja sajber kriminalcima”, navodi se u saopštenju Europola.
Ministarstvo pravde SAD-a (DoJ) saopštilo je da se Federalni istražni biro (FBI) tajno infiltrirao u servere baze podataka Hive u julu 2022. godine i uhvatio 336 ključeva za dešifrovanje koji su potom predati kompanijama koje je kompromitovala hakerska banda, čime je efektivno ušteđeno 130 miliona dolara u plaćanju otkupnine.
FBI je također podijelio više od 1.000 dodatnih ključeva za dešifrovanje prethodnim žrtvama Hive-a, primjećuje Ministarstvo pravde, navodeći da je agencija dobila pristup za dva namjenska servera i jednom virtuelnom privatnom serveru kod provajdera hostinga u Kaliforniji koji su iznajmljeni koristeći tri adrese email-a koje pripadaju članovima Hive-a.
Osim ključeva za dešifrovanje, ispitivanje podataka sa servera otkrilo je informacije o 250 filijala, koje su strane koje su programeri malicioznog softvera angažovali da identifikuju i implementiraju korisni teret za šifrovanje datoteka protiv žrtava u zamjenu za dio svake uspješne isplate otkupnine.
Američki Stejt department je u povezanom saopštenju rekao da nudi nagrade u iznosu do 10 miliona dolara za informacije koje bi mogle pomoći u povezivanju grupe Hive ransomware (ili drugih aktera pretnji) sa stranim vladama.
Hive, koji je nastao u junu 2021. godine, bio je plodna ekipa za sajber kriminal, koja je pokrenula napade na 1.500 organizacija u ne manje od 80 zemalja i ostvarila 100 miliona dolara nezakonite dobiti.
Ciljani entiteti obuhvataju širok spektar vertikala, uključujući vladine objekte, komunikacije, kritičnu proizvodnju, informacione tehnologije i zdravstvenu zaštitu.
Prema statistikama koje je prikupio MalwareBytes, Hive je u novembru 2022. godine imao 11 žrtava, stavljajući ga na šesto mjesto iza Royal-a (45), LockBit-a (34), ALPHV-a (19), BianLian-a (16) i LV-a (16).
“Neki akteri Hive-a dobili su pristup mrežama žrtve koristeći jednofaktorne prijave putem protokola za udaljenu radnu površinu, virtuelnih privatnih mreža i drugih protokola za udaljenu mrežnu vezu”, objasnio je Europol.
“U drugim slučajevima, Hive akteri su zaobišli višefaktorsku autentifikaciju i dobili pristup iskorištavanjem ranjivosti. Ovo je omogućilo malicioznim kiber kriminalcima da se prijave bez upita za drugi faktor autentifikacije korisnika promjenom velikih i malih slova korisničkog imena.”
Međunarodnu operaciju činile su vlasti iz Kanade, Francuske, Njemačke, Irske, Litvanije, Holandije, Norveške, Portugala, Rumunije, Španije, Švedske, Velike Britanije i SAD-a.
Ako ništa drugo, taj potez će vjerovatno uzrokovati privremeni poremećaj u Hive-ovim operacijama, prisiljavajući grupu (koju se prati kao Hive Spider) da uspostavi novu infrastrukturu ukoliko namjerava da nastavi svoju kriminalnu aktivnost pod istim imenom.
“Zapljena i namjenskog sajta za curenje podataka i portala za pregovore o žrtvama predstavlja veliki zastoj u operacijama protivnika,” rekao je Adam Meyers, šef obavještajne službe u CrowdStrike-u.
„Bez pristupa bilo kojoj stranici, podružnice Hive Spider-a će se morati osloniti na druga sredstva komunikacije sa svojim žrtvama i morat će pronaći alternativne načine da javno objave podatke o žrtvama.”
S obzirom da se RaaS hakerske bande neprestano raspuštaju i pregrupišu nakon mjera za provođenje zakona, unutrašnjih sukoba ili geopolitičkih razloga, najnovije akcije mogle bi imati kratkoročni učinak na ekosistem i dodatno navesti posade da ojačaju svoju odbranu.
Razvoj također dolazi u vrijeme kada kompanije koje su provaljene napadima ransomware-a sve više odbijaju da se izmire, što dovodi do rekordno niskih isplata u četvrtom kvartalu 2022. godine. Prema Coveware-u , samo 41% žrtava platilo je otkup u 2022. godini, u poređenju sa 50% u 2021. godini, 70% u 2020. godini i 76% u 2019. godini.
„Radnje koje su poduzele američke agencije kako bi iznutra ometale rad grupe Hive ransomware-a predstavljaju korak bez presedana u borbi protiv ransomware-a, koji stalno ostaje najveća prijetnja s kojom se većina organizacija danas suočava“, rekao je Satnam Narang, viši inženjer istraživanja u Tenable-u.
“Iako ovo može signalizirati kraj ransomware grupe Hive, njeni članovi i podružnice ostaju prijetnja. Ako postoji nešto što smo naučili nakon prošlih ometajućih akcija protiv grupa ransomware-a, to je da će se druge grupe podići kako bi popunile prazninu koja je ostala iza.”
Izvor: The Hacker News