2023年1月26日,美国司法部和欧洲刑警组织共同宣布,经过长达6个月的渗透,臭名昭著的Hive 勒索软件组织被FBI和国际刑警破获:该组织的IT基础设施已经完全被破坏,Tor支付和数据泄露站点被查封,警方获得两台服务器和一台虚拟专用服务器的访问权,并对在荷兰托管的两个备份专用服务器的访问权限......
目前,Hive 勒索软件组织在暗网的泄露站点显示一条俄语和英语交替使用的信息:“作为针对Hive 勒索软件组织全球协调执法的一部分,这个隐藏的网站已经被联邦调查局查封。”这也意味着,FBI已经彻底控制了Hive的核心站点。
同时,美国司法部长梅里克表示,警方正在构建Hive开发人员、管理员和附属机构的地图,作为逮捕、扣押Hive 勒索软件组织以及其他行动的重要支撑证据。
美国司法部称,自2022年7月下旬以来,FBI持续渗透Hive勒索软件组织,破获了其解密密钥并向全球300多名受害者提供解密密钥,还向以往的Hive勒索受害者分发了1千多个额外的解密密钥,从而避免了大约 1.3 亿美元的赎金支付。
换句话说,Hive勒索软件组织基本上已经被一网打尽,但是还存在一个明显的遗留问题:Hive勒索软件组织的核心成员依旧逍遥法外。这意味着Hive勒索软件组织随时都有可能会死灰复燃,只需要换一个马甲就会再度成为全球网络安全的毒瘤。
2021年6月,Hive勒索软件组织开始在全球网络空间肆虐,以"勒索软件即服务"的模式运作,招募“附属机构”对外进行部署,主要针对医疗保健组织以及其他配置薄弱无法抵御网络攻击的企业。
2022年11月,美国司法部公布一组令业界震惊的数据:截止到2022年11月,Hive勒索软件组织已经攻击了1500多家企业,并成功获得了大约1亿美元的赎金,堪称勒索软件组织中最暴利的存在。
2021年8月,该团伙声称总部设在伊利诺伊州的纪念卫生系统是其第一个医疗保健行业的受害者,随后是哥斯达黎加的公共卫生服务和纽约的应急响应和救护车服务提供商Empress EMS。10月,Hive还将印度顶级发电公司Tata Power作为目标。这些骚操作也让Hive勒索软件组织迅速在业界有了相当大的名气。
为了跑通"勒索软件即服务"模式,Hive管理员建立了一个服务器网络来运行他们的在线犯罪业务。网络面向公众的一侧或“前端”由四个可访问的网站或“面板”组成,每个网站都面向不同类型的用户/受众。一个由Hive参与者使用的但公众无法访问的单独服务器托管了一个支持前端Tor的数据库面板和泄漏网站。
登录到管理面板上的用户界面,管理员能够管理Hive数据库,跟踪攻击,与附属机构沟通他们针对特定受害者的活动,并与受害者协商支付赎金。
Hive勒索软件组织常用的入侵方法包括:通过远程桌面协议 (RDP)、虚拟专用网络 (VPN) 和其他远程网络连接协议进行单因素登录;利用 FortiToken 漏洞;以及发送带有恶意附件的网络钓鱼电子邮件。
公开资料显示,Hive勒索软件采用GO语言编写,加密算法使用AES+RSA,同时这款勒索病毒也采用了“双重”勒索的模式,通过在暗网上公布受害者数据,来逼迫受害者交纳赎金。虽然该勒索组织刚出现不久,但已经成为高度活跃且危险的勒索组织之一。
所谓“双重勒索”是被害人已经交过赎金攻击者还可以再次封锁被害人数据的一种攻击,攻击者加密目标系统数据之前会先窃取数据,这样,即便受害者有备份数据,勒索软件仍然可以用泄露数据作威胁要求其支付赎金。
更过分的是,对于那些不支付赎金的企业,Hive勒索软件组织会在其网络上部署更多的恶意软件,例如使用其他勒索软件的变种,对于目标用户进行重复感染,严重打击了企业的系统更新和业务恢复的速率。
2022年,美国FBI联合德国、加拿大、法国、立陶宛、荷兰、挪威、葡萄牙、罗马尼亚、西班牙、瑞典和英国,共同组建了全球执法队伍,对Hive勒索软件组织进行围剿。
7月,美国FBI已经渗透到 Hive 的计算机网络,同时阻断了Hive勒索软件组织的多次勒索攻击,其中包括针对路易斯安那州一家医院、一家食品服务公司和德克萨斯州学区的攻击。
在这场为期六个月的大围剿行动中,FBI和欧洲警方可谓是极具耐心,在Hive勒索软件组织未曾察觉的情况下,悄悄潜伏其中,一步步摸索清楚该组织的内部成分、网络、目标服务器等等。
举个例子,在渗透的过程中,FBI成功发现了Hive勒索软件组织位于洛杉矶的两个专用服务器和一个虚拟专用服务器(VPS)的镜像。
这两个专用服务器分别与IP地址(目标服务器1)(目标服务器2)相关联。通过分析从所有服务器的搜索中获得的证据,调查人员证实,这些证据都被Hive勒索软件组使用过。特别是,调查人员证实,位于洛杉矶的目标服务器1和荷兰服务器被设置为冗余的web服务器。
通过分析来自目标服务器2的数据,联邦调查局确定它作为Hive网络的后端,并包含Hive数据库。
除了解密密钥,当联邦调查局检查在目标服务器2上发现的数据库时,联邦调查局发现了Hive通信记录、恶意软件文件哈希值、Hive250个附属机构的4个信息,以及与之前获得的信息一致的受害者信息解密密钥操作。
这仅仅是其中一个例子。最终,Hive勒索软件组织被FBI一锅给端了,整个组织结构遭到了毁灭性的打击。目前尚不清楚的是,Hive勒索软件组织主要领导与核心成员是否已经被逮捕。
众所周知,目前有不少国家并未对勒索组织成员采取打压态势,有些勒索组织也具备政府部门的身影,对勒索组织成员的抓捕造成了较为明显的阻碍,对于勒索组织的打击也不够彻底。他们完全可以换一个马甲重新发起新的勒索攻击,曾经名盛一时的Conti勒索软件组织因为FBI的打压而关闭,但该组织随后又成立了新的勒索组织,继续在全球范围内发起勒索攻击。
美国FBI联合欧洲警方共同执法,对Hive勒索软件组织进行彻底的打击,进一步体现了全球主要国家对于勒索攻击的态度。
自2019年以来,勒索攻击以超高的经济收益、超强的危害、企业无法抵御的难度等要素,开始了自己的疯狂的成长之路。勒索攻击的对象也从中小公司一跃成为大型跨国企业,行业龙头企业,国家关键基础设施等,甚至勒索组织开始以某个国家和地区作为勒索目标,态度嚣张,日益猖獗。
在这场网安空间的对抗之中,勒索软件组织一直处于优势地位,凭借着多元、复杂、先进的攻击手法,给无数企业和政府部门带来了巨大的危害,最终勒索软件组织也迎来了前所未的严峻打击。
随着越来越的企业拒绝支付赎金,勒索软件组织的日子也越来越不好过。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示,受害者在 2022 年支付的赎金为 4.57 亿美元,而 2021 年为 7.66 亿美元。
当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联,因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势,受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。
这意味着,共同对抗勒索软件组织已经成为越来越多企业的选择,也是目前不少政府极力倡导的方向。而对于勒索软件组织来说,凛冬似乎正在到来:Hive勒索软件组织不是第一个,也不会是最后一个。
https://www.bleepingcomputer.com/news/security/hive-ransomware-disrupted-after-fbi-hacks-gangs-systems/