美国司法部本周宣布,联邦调查局特工成功瓦解了一个臭名昭著的勒索软件集团Hive,并阻止了价值1.3亿美元的赎金活动,目标不再需要考虑支付赎金。执法机构声称Hive犯罪集团针对全球80多个国家的1500多名受害者,而在本周与德国和荷兰官员合作关闭Hive服务器和网站之前,它已经渗透到该集团的网络中数月。
副司法部长丽莎-摩纳哥(Lisa Monaco)在一次新闻发布会上说:"简单地说,我们用合法的手段,黑掉了黑客。"
联邦调查局声称,通过秘密入侵Hive服务器,它能够悄悄地抢到300多个解密密钥,并将它们传回给数据被该组织锁住的受害者。美国司法部长梅里克-加兰在他的声明中说,在过去几个月里,联邦调查局用这些解密密钥解开了一个面临500万美元赎金的德克萨斯州学区,一家被要求支付300万美元的路易斯安那州医院,以及一家面临1000万美元赎金的未命名的食品服务公司。
摩纳哥说:"我们扭转了Hive的局面,打破了他们的商业模式。Hive曾被联邦调查局认为是五大勒索软件威胁之一。根据司法部的数据,自2021年6月以来,Hive已经从其受害者那里收到了超过1亿美元的赎金。"
Hive的"勒索软件即服务(RaaS)"模式是制作和销售勒索软件,然后招募"附属机构"出去部署,Hive管理员从任何收益中抽取20%,如果有人拒绝付款,就在"HiveLeaks"网站上公布被盗数据。据美国网络安全和基础设施安全局(CISA)称,这些分支机构使用的方法包括电子邮件钓鱼,利用FortiToken认证漏洞,以及获得对公司VPN和远程桌面(使用RDP)的访问权,而这些远程桌面只能通过单因素登录进行保护。
11月的一份CISA警报解释了这些攻击如何针对运行自己的微软Exchange服务器的企业和组织。提供给他们附属机构的代码利用了已知的漏洞,如CVE-2021-31207,尽管自2021年以来已经打了补丁,但如果没有应用适当的缓解措施,这些漏洞往往仍然是脆弱的。
一旦他们进入,他们的模式是利用组织自己的网络管理协议,关闭任何安全软件,删除日志,加密数据,当然,在加密的目录中留下HOW_TO_DECRYPT.txt赎金字条,将受害者连接到一个实时聊天面板,就赎金要求进行谈判。
"当一个受害者挺身而出时,它可以使一切变得不同"
Hive是自2021年REvil以来联邦调查局拿下的最大的勒索软件集团,它曾经泄露了苹果供应商以及世界上最大的肉类供应商的各种秘密商业资料。而在这一年早些时候,像DarkSide这样的组织在渗透了Colonial Pipeline的系统后,成功地勒索走了440万美元的赔款,这一事件还导致美国全国天然气价格暴涨。然而,被公开的最昂贵的勒索软件攻击是保险公司CNA Financial,它最终向黑客支付了4000万美元。
联邦调查局在监视Hive的过程中,发现了1000多个与该组织以前的受害者有关的加密密钥,联邦调查局局长克里斯托弗-雷指出,只有20%的被发现的受害者向联邦调查局求助。许多勒索软件攻击的受害者不与联邦调查局联系,因为他们担心黑客的反击和他们的行业因未能保护自己而受到审查。
然而,由于黑客得到了他们的报酬,这给勒索软件行业提供了继续"前进"的动力。联邦调查局希望它能说服更多的受害者站出来与他们合作,而不是屈服于他们的要求。摩纳哥说:"当一个受害者站出来时,它可以在追回被盗资金或获得解密密钥方面发挥重要作用。"