Hive Ransomware

FBI standser hackerbandes systemer

Hive ransomware-operationens Tor-betalings- og datalækagesider blev beslaglagt som en del af en international retshåndhævelsesoperation, efter at FBI infiltrerede bandens infrastruktur i juli sidste år.

I dag meddelte det amerikanske justitsministerium og Europol, at en international retshåndhævelsesoperation i hemmelighed infiltrerede Hive-ransomware-bandens infrastruktur i juli 2022, da de i hemmelighed begyndte at overvåge operationen i seks måneder.

Denne operation gjorde det muligt for dem at lære om angreb, før de opstod og advare mål, og at få og distribuere dekrypteringsnøgler til ofre, hvilket forhindrer ca. $ 130 millioner i løsesumbetalinger.

“Siden slutningen af juli 2022 har FBI trængt ind i Hives computernetværk, fanget dets dekrypteringsnøgler og tilbudt dem til ofre over hele verden og forhindret ofre i at skulle betale 130 millioner dollars i løsesum, der kræves,” sagde justitsministeriet.

“Siden infiltreringen af Hives netværk i juli 2022 har FBI leveret over 300 dekrypteringsnøgler til Hive-ofre, der var under angreb. Derudover distribuerede FBI over 1.000 yderligere dekrypteringsnøgler til tidligere Hive-ofre.

Ifølge en ansøgning om en kendelse fik FBI adgang til to dedikerede servere og en virtuel privat server hos en hostingudbyder i Californien, der blev leaset ved hjælp af e-mail-adresser, der tilhørte Hive-medlemmer.

I en koordineret aktion fik hollandsk politi også adgang til to backup-dedikerede servere, der hostede i Holland.

Ved hjælp af denne adgang bekræftede retshåndhævelsen, at disse servere fungerede som operationens vigtigste datalækagested, forhandlingssted og webpaneler, der blev brugt af operatørerne og tilknyttede virksomheder.

“Ud over dekrypteringsnøgler, da FBI undersøgte databasen, der blev fundet på Target Server 2, fandt FBI optegnelser over Hive-kommunikation, malware-fil-hashværdier, oplysninger om Hives 250 tilknyttede virksomheder og offeroplysninger i overensstemmelse med de oplysninger, det tidligere havde fået gennem dekrypteringsnøgleoperationen,” lyder erklæringen.

Ransomware-bandens Tor-websteder viser nu en beslaglæggelsesmeddelelse, der viser en lang række andre lande, der er involveret i retshåndhævelsesoperationen, herunder Tyskland, Canda, Frankrig, Litauen, Holland, Norge, Portugal, Rumænien, Spanien, Sverige og Det Forenede Kongerige.

I modsætning til tidligere beslaglæggelsesmeddelelser, der blev brugt af retshåndhævelse, er dette billede en animeret GIF, der roterer mellem en besked på engelsk og russisk og advarer andre ransomware-bander om operationen.

Hive ransomware Tor hjemmeside beslaglæggelse meddelelse

“Dette skjulte sted er blevet beslaglagt. Federal Bureau of Investigation beslaglagde dette websted som en del af en koordineret retshåndhævelsesaktion mod Hive Ransomware,” lyder beslaglæggelsesmeddelelsen.

“Denne handling er blevet taget i samarbejde med USA’s advokatkontor for Middle District of Florida og Computer Crime and Intellectual Property Section i justitsministeriet med betydelig bistand fra Europol.”

Hvem er Hive ransomware?

Hive cyberkriminelle bande køres som en ransomware-as-a-service (RaaS) operation, der blev lanceret i juni 2021. De er kendt for at bryde organisationer gennem phishing-kampagner, udnytte sårbarheder i interneteksponerede enheder og gennem købte legitimationsoplysninger.

Når de får adgang til et virksomhedsnetværk, spredes trusselsaktørerne sideværts til andre enheder, mens de stjæler ukrypterede data, der skal bruges i krav om dobbelt afpresning.

Når de får administratoradgang til en Windows-domænecontroller, implementerer de deres ransomware i hele netværket for at kryptere alle enheder.

I modsætning til mange ransomware-operationer, der hævder at undgå nødtjenester og sundhedsenheder, er Hive ikke særlig om, hvem de målretter mod.

Ransomware-gruppen er ansvarlig for mange ofre, herunder angreb på non-profit Memorial Health System, detailgiganten MediaMarkt, Bell Technical Solutions (BTS) og Tata Power, New York Racing Association.

I november 2022 erklærede FBI, at ransomware-operationen genererede cirka 100 millioner dollars fra over 1,500 virksomheder siden juni 2021.

Kilde: BleepingComputer

Foto: Pexels

Cybersikkerhed & Nyheder