美國司法部本周宣佈,聯邦調查局特工成功瓦解一個臭名昭著的勒索軟件集團Hive,並阻止價值1.3億美元的贖金活動,目標不再需要考慮支付贖金。執法機構聲稱Hive犯罪集團針對全球80多個國傢的1500多名受害者,而在本周與德國和荷蘭官員合作關閉Hive服務器和網站之前,它已經滲透到該集團的網絡中數月。
副司法部長麗莎-摩納哥(Lisa Monaco)在一次新聞發佈會上說:"簡單地說,我們用合法的手段,黑掉黑客。"
聯邦調查局聲稱,通過秘密入侵Hive服務器,它能夠悄悄地搶到300多個解密密鑰,並將它們傳回給數據被該組織鎖住的受害者。美國司法部長梅裡克-加蘭在他的聲明中說,在過去幾個月裡,聯邦調查局用這些解密密鑰解開一個面臨500萬美元贖金的德克薩斯州學區,一傢被要求支付300萬美元的路易斯安那州醫院,以及一傢面臨1000萬美元贖金的未命名的食品服務公司。
摩納哥說:"我們扭轉Hive的局面,打破他們的商業模式。Hive曾被聯邦調查局認為是五大勒索軟件威脅之一。根據司法部的數據,自2021年6月以來,Hive已經從其受害者那裡收到超過1億美元的贖金。"
Hive的"勒索軟件即服務(RaaS)"模式是制作和銷售勒索軟件,然後招募"附屬機構"出去部署,Hive管理員從任何收益中抽取20%,如果有人拒絕付款,就在"HiveLeaks"網站上公佈被盜數據。據美國網絡安全和基礎設施安全局(CISA)稱,這些分支機構使用的方法包括電子郵件釣魚,利用FortiToken認證漏洞,以及獲得對公司VPN和遠程桌面(使用RDP)的訪問權,而這些遠程桌面隻能通過單因素登錄進行保護。
11月的一份CISA警報解釋這些攻擊如何針對運行自己的微軟Exchange服務器的企業和組織。提供給他們附屬機構的代碼利用已知的漏洞,如CVE-2021-31207,盡管自2021年以來已經打補丁,但如果沒有應用適當的緩解措施,這些漏洞往往仍然是脆弱的。
一旦他們進入,他們的模式是利用組織自己的網絡管理協議,關閉任何安全軟件,刪除日志,加密數據,當然,在加密的目錄中留下HOW_TO_DECRYPT.txt贖金字條,將受害者連接到一個實時聊天面板,就贖金要求進行談判。
"當一個受害者挺身而出時,它可以使一切變得不同"
Hive是自2021年REvil以來聯邦調查局拿下的最大的勒索軟件集團,它曾經泄露蘋果供應商以及世界上最大的肉類供應商的各種秘密商業資料。而在這一年早些時候,像DarkSide這樣的組織在滲透Colonial Pipeline的系統後,成功地勒索走440萬美元的賠款,這一事件還導致美國全國天然氣價格暴漲。然而,被公開的最昂貴的勒索軟件攻擊是保險公司CNA Financial,它最終向黑客支付4000萬美元。
聯邦調查局在監視Hive的過程中,發現1000多個與該組織以前的受害者有關的加密密鑰,聯邦調查局局長克裡斯托弗-雷指出,隻有20%的被發現的受害者向聯邦調查局求助。許多勒索軟件攻擊的受害者不與聯邦調查局聯系,因為他們擔心黑客的反擊和他們的行業因未能保護自己而受到審查。
然而,由於黑客得到他們的報酬,這給勒索軟件行業提供繼續"前進"的動力。聯邦調查局希望它能說服更多的受害者站出來與他們合作,而不是屈服於他們的要求。摩納哥說:"當一個受害者站出來時,它可以在追回被盜資金或獲得解密密鑰方面發揮重要作用。"