FBI“入侵”了知名勒索软件团伙HIVE超7个月后收网

当地时间1月26日，美国联邦调查局局长克里斯托弗·雷 与司法部长梅里克·加兰和助理司法部长丽莎·摩纳哥一起在华盛顿就司法部的国际勒索软件执法行动发表了讲话。克里斯托弗·雷 (Christopher Wray)在当天上午的新闻发布会上说，扣押行动包括美国、德国和荷兰警方的参与，是正在进行的调查的一部分，可能会导致逮捕。FBI将继续收集证据；构建Hive开发人员、管理员和附属机构地图；并利用这些知识来推动逮捕、扣押和其他行动，无论是联邦调查局还是FBI国内外的合作伙伴。司法部副部长Lisa O. Monaco告诉记者，美国警方攻击了黑客。总检察长梅里克加兰说，联邦特工没收了位于洛杉矶的两台服务器。Hive的暗网泄漏站点现在显示一条消息（交替使用俄语和英语），表明FBI已控制该站点。

自2021年6月以来，Hive已将全球1,500多名受害者作为目标，包括在COVID-19大流行高峰期间扰乱医疗保健提供者。据总检察长梅里克·加兰 (Merrick Garland) 称，受害者向该组织支付了超过1亿美元的赎金，该组织最近在15天前在佛罗里达州袭击了一名美国受害者。

针对该组织的成功国际行动，它被FBI视为排名前五的勒索软件威胁，本次行动是与每年给受害者造成数亿美元损失的祸害或勒索软件进行的持续而令人沮丧的斗争的重大胜利。

在监视Hive的网络时，FBI中断了多次攻击，包括针对路易斯安那州一家医院、一家食品服务公司和德克萨斯州学区的攻击。调查导致洛杉矶的两台服务器被联邦调查局特工周三（25日）晚上根据法院命令关闭。荷兰和德国的执法部门为这次行动做出了贡献。

“在21世纪的网络监视中，我们的调查团队扭转了Hive的局面，刷了他们的解密密钥，将它们传递给受害者，并最终避免了超过 1.3亿美元的勒索软件付款，”司法部副部长Lisa O. Monaco在周四的新闻发布会表示。“简单地说，我们用合法的手段攻击了黑客。”

“在21世纪的网络监视中，我们的调查团队扭转了Hive的局面，刷了他们的解密密钥，将它们传递给受害者，并最终避免了超过 1.3亿美元的勒索软件付款，”司法部副部长Lisa O. Monaco在周四的新闻发布会表示。“简单地说，我们用合法的手段攻击了黑客。”

在线删除通知以英语和俄语交替显示，其中提到了欧洲刑警组织和德国合作伙伴的努力。德国新闻社dpa援引斯图加特检察官办公室的话说，在当地一家公司受害后，西南部城镇埃斯林根的网络专家果断渗透了Hive的犯罪IT基础设施。

欧洲刑警组织在一份声明中表示，包括石油跨国公司在内的80多个国家的公司都受到了Hive的攻击。它说，欧洲刑警组织协助进行了加密货币、恶意软件和其他分析，来自13个国家的执法机构参与了这项工作。

与许多其他组织一样，Hive通过勒索软件即服务模型提供其勒索软件，附属机构可以通过该模型轻松订阅以使用该组织的恶意软件变种和基础设施来部署攻击。Hive参与者使用网络安全专家所说的“双重勒索”模型，这意味着在加密系统之前先窃取受害者的数据。如果受害者不付款，黑客威胁要公开他们的数据。

据联邦调查局局长克里斯托弗·雷(Christopher Wray)称，联邦调查局特工在长达七个月的监视Hive网络时观察到的受害者中，只有20%联系了执法部门。“幸运的是，我们仍然能够识别并帮助许多没有报案的受害者，但情况并非总是如此，”Wray说。“当受害者向我们报告袭击事件时，我们也可以帮助他们和其他人。”

没有对Hive开发人员提出任何指控，但是，Wray表示，美国将继续与国际合作伙伴合作，夺取更多的Hive基础设施并逮捕开发人员和附属公司。

Hive的取缔反映了司法部首先追查黑客攻击基础设施、破坏攻击和追回受害者损失的战略。Wray指出，FBI为俄罗斯勒索软件团伙 REvil攻击Kaseya的受害者获取和共享解密密钥。由于勒索软件攻击者中有许多人居住在众所周知的网络犯罪分子避风港俄罗斯，因此很少有人逮捕勒索软件攻击者。2022年11月，司法部与加拿大警方合作逮捕了一名涉嫌参与LockBit勒索软件攻击的俄罗斯和加拿大双重国籍人士。

尽管如此，研究人员表示，FBI的行动对该组织来说是一个重大打击。

谷歌云Mandiant威胁情报主管John Hultquist说，“像这样的行为增加了勒索软件操作的摩擦”。“Hive可能不得不重组，甚至重新命名。当不可能逮捕时，我们将不得不专注于战术解决方案和更好的防御。在我们能够解决俄罗斯的避风港和有弹性的网络犯罪市场之前，这将是我们的重点。”

网络安全公司Emsisoft的分析师布雷特·卡洛 (Brett Callow) 表示，该行动很容易削弱勒索软件骗子对高回报低风险业务的信心。“收集到的信息可能指向附属机构、洗钱者和其他参与勒索软件供应链的人，”Callow说。

网络安全公司Recorded Future的分析师艾伦·里斯卡 (Allan Liska) 表示，此次行动表明“执法部门的逮捕、制裁、扣押等多管齐下的战略正在努力减缓勒索软件攻击。” 他预测这将在未来几个月内实施起诉。

前FBI网络心理操作分析师兼Abnormal Security研究负责人Crane Hassold通过电子邮件表示，勒索软件攻击者寻求其他赚钱途径的新兴趋势正在举，这一最新事件可能会为这种现象火上浇油。他说：“我们很可能会开始看到勒索软件参与者转向其他类型的网络攻击，例如商业电子邮件攻击(BEC)。” “BEC是当今对财务影响最大的网络威胁，他们可以简单地重新配置恶意软件以建立对员工邮箱的访问权限，而不是使用他们的初始访问恶意软件在公司网络上立足，这可能会导致更大规模和更复杂的供应商电子邮件攻击。”

Mandiant的高级经理Kimberly Goody表示，与许多勒索软件组织一样，Hive分支机构可能会以不同的名称分散或重组。过去，人们看到勒索运营者雇用了CONTI和MOUNTLOCKER等公司。这表明一些参与者已经在广泛的生态系统中建立了关系，可以使他们轻松地转向使用另一个品牌作为其运营的一部分。

Hive占Mandiant在2022年响应的勒索软件入侵的15%以上，其中50%的公共受害者位于美国。该公司观察到恶意黑客在2022年年中重写了他们的勒索软件，这表明该组织正试图逃避检测。

参考资源

1、https://cyberscoop.com/fbi-europol-hive-ransomware-group/

2、https://www.securityweek.com/us-infiltrates-big-ransomware-gang-we-hacked-the-hackers/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。