美国司法部在1月26日宣布了针对Hive勒索软件组织的长达数月的破坏活动,该组织针对全球80多个国家的1500多名受害者,包括医院,学校,金融公司和关键基础设施。
Hive暗网网站上的扣押通知还列出了参与执法行动的其他许多国家,包括加拿大、法国、立陶宛、荷兰、挪威、葡萄牙、罗马尼亚、西班牙、瑞典和英国。
与执法部门以前使用的扣押消息不同,这张图片是一个在英语和俄语消息之间轮换的GIF动画,可能是对其他勒索软件团伙的警告。
FBI暗中渗透Hive网络,挫败超过1.3亿美元的赎金要求
自2022年7月下旬以来,联邦调查局已经渗透到Hive的计算机网络,捕获了其解密密钥,并将其提供给世界各地的受害者,使受害者不必支付1.3亿美元的赎金。自2022年7月渗透到Hive网络以来,联邦调查局已向受到攻击的Hive受害者提供了300多个解密密钥。此外,联邦调查局还向以前的Hive受害者分发了1000多个额外的解密密钥。最后,该部门今天宣布,与德国执法部门(德国联邦刑警和罗伊特林根警察总部-CID Esslingen)和荷兰国家高科技犯罪部门协调,它已经控制了Hive用来与其成员通信的服务器和网站,破坏了Hive攻击和勒索受害者的能力。
“昨晚,司法部捣毁了一个国际勒索软件网络,该网络负责向美国和世界各地的受害者勒索和试图勒索数亿美元,”司法部长梅里克·B·加兰(Merrick B. Garland)说。“网络犯罪是一个不断发展的威胁。但正如我之前所说,司法部将不遗余力地识别任何地方以勒索软件攻击为目标的任何人并将其绳之以法。我们将继续努力防止这些袭击,并为成为目标的受害者提供支持。我们将与我们的国际伙伴一起,继续破坏部署这些攻击的犯罪网络。
“司法部对Hive勒索软件组织的破坏应该像对犯罪者一样清楚地告诉网络犯罪的受害者,”副总检察长Lisa O. Monaco说。“在21世纪的网络监视中,我们的调查团队扭转了Hive的局面,刷了他们的解密密钥,将它们传递给受害者,最终避免了超过1.3亿美元的勒索软件付款。我们将继续使用任何可能的手段打击网络犯罪,并将受害者置于我们减轻网络威胁努力的中心。
“在对世界各地的受害者进行数月的解密之后,Hive计算机网络的协调中断表明,通过将不懈地寻找有用的技术信息与受害者分享的调查相结合,我们可以完成什么,旨在发展打击我们对手的行动,”联邦调查局局长克里斯托弗雷说。“联邦调查局将继续利用我们的情报和执法工具,全球影响力和合作伙伴关系来打击针对美国企业和组织的网络犯罪分子。
“我们在此案中的努力为受害者节省了超过一亿美元的赎金,并可能增加了更多的补救费用,”司法部刑事司助理检察长Kenneth A. Polite,Jr.说。“这一行动表明司法部致力于保护我们的社区免受恶意黑客的侵害,并确保犯罪受害者得到完整的保护。此外,我们将继续调查并追捕Hive背后的演员,直到他们被绳之以法。
“网络犯罪分子利用先进的技术掠夺世界各地的无辜受害者,”佛罗里达州中区的美国检察官罗杰汉德伯格说。“由于我们国内和国际执法伙伴的特殊调查工作和协调,HIVE的进一步勒索已被挫败,关键业务运营可以不间断地恢复,并避免了数百万美元的赎金支付。
自2021年6月以来,Hive勒索软件组织已针对全球1500多名受害者,并收到了超过1亿美元的赎金。
Hive勒索软件攻击导致全球受害者日常运营严重中断,并影响了对COVID-19大流行的反应。在一个案例中,一家受到Hive勒索软件攻击的医院不得不采用模拟方法来治疗现有患者,并且无法在攻击后立即接受新患者。
Hive使用勒索软件即服务(RaaS)模型,该模型具有管理员(有时称为开发人员)和附属公司。RaaS是一种基于订阅的模型,开发人员或管理员在其中开发勒索软件并创建一个易于使用的界面来操作它,然后招募附属公司来部署针对受害者的勒索软件。附属公司确定了目标并部署了这种现成的恶意软件来攻击受害者,然后从每次成功的赎金支付中获得一定比例的赎金。
Hive采用了双重勒索攻击模式。在加密受害者系统之前,会员会泄露或窃取敏感数据。然后,该会员要求赎金,以获得解密受害者系统所需的解密密钥以及不发布被盗数据的承诺。Hive参与者经常针对受害者系统中最敏感的数据,以增加支付压力。受害者付款后,附属机构和管理员按80/20分配赎金。Hive公布了在HiveLeak网站上不付款的受害者的数据。
根据美国网络安全和基础设施安全局(CISA)的说法,Hive勒索组织已通过多种方法初步访问受害者网络,包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)和其他远程网络连接协议进行单因素登录;利用FortiToken漏洞;以及发送带有恶意附件的网络钓鱼电子邮件。有关恶意软件的更多信息,包括组织有关如何减轻其影响的技术信息,可从CISA获得,请访问https://www.cisa.gov/uscert/ncas/alerts/aa22-321a。
Hive勒索软件的受害者应联系当地的FBI现场办公室以获取更多信息。
联邦调查局坦帕外地办事处奥兰多驻地机构正在调查此案。
刑事司计算机犯罪和知识产权科的审判律师Christen Gallagher和Alison Zitron以及佛罗里达州中区的助理美国检察官Chauncey Bratt正在起诉此案。
司法部还认识到德国罗伊特林根警察总部-CIDEsslingen,德国联邦刑警,欧洲刑警组织和荷兰政治局的重要合作,美国特勤局,弗吉尼亚州东区美国检察官办公室和美国加利福尼亚州中区检察官办公室提供了大量援助。司法部国际事务办公室和网络行动国际联络处也提供了大量协助。此外,下列外国执法当局提供了大量援助和支持:加拿大皮尔地区警察和加拿大皇家骑警、法国中央司法局、立陶宛刑警局、挪威国家刑事调查局(与奥斯陆警区合作)、葡萄牙司法警察、罗马尼亚打击有组织犯罪局、西班牙国家警察、葡萄牙警察、葡萄牙警察、罗马尼亚国家警察、葡萄牙警察、罗马尼亚国家警察局、法国警察局、法国警察局、俄罗斯联邦警察局瑞典警察局和英国国家犯罪局。
FBI公布了调查过程
为了促进RaaS模型,Hive管理员建立了一个服务器网络来运行他们的在线犯罪业务。网络面向公众的一侧或“前端”由四个可访问的网站或“面板”组成,每个网站都面向不同类型的用户/受众。一个由Hive参与者使用的但公众无法访问的单独服务器(“后端”服务器)托管了一个支持前端Tor的数据库面板和泄漏网站。
登录到管理面板上的用户界面,管理员能够管理Hive数据库,跟踪攻击,与附属机构沟通他们针对特定受害者的活动,并与受害者协商支付赎金。带有蜂巢图案的登录页面的屏幕截图如下:
通过附属机构小组,附属机构为每个受害者创建一个记录,输入有关受害者的信息,下载有关感染的Hive勒索软件,然后跟踪进度,包括创建日期、加密日期和付款日期。通过附属面板输入的数据存储在后端数据库中。附属公司还可以追踪与受害者的谈判,并通过点击“支付”按钮要求他们削减赎金,如下图所示:
从受害者的报告中,联邦调查局了解到,当受害者被加密时,Hive会在受害者的系统中留下一张带有登录凭证勒索提示,Hive成员称之为“销售部门”。通过受害者勒索提示,受害者可以协商支付赎金,接收泄露数据的证明和付款指示,并在支付赎金后获得解密密钥。不支付赎金的受害者将把他们的数据公布在蜂巢泄漏网站上,该网站也托管在Tor网站上。
通过分析通过美国法院命令获得的证据,联邦调查局证实了Hive管理员租赁来自美国的主机服务器。2023年1月11日,在佛罗里达州中部地区的一名地方法官根据第18 U.S.C.条的规定执行搜查令后§§2703(a),2703(b)(1)(A)和2703(c)(1)(A),美国调查人员获得了位于加州洛杉矶的两个专用3服务器(目标服务器)和一个虚拟专用服务器(VPS)的镜像。这两个专用服务器分别与IP地址(目标服务器1)(目标服务器2)相关联。搜查是与在荷兰的两个专用服务器(以下简称“荷兰服务器”)上执行搜查令的外国合作伙伴协调执行的。
通过分析从所有服务器的搜索中获得的证据,调查人员证实,这些证据都被Hive勒索软件组使用过。特别是,调查人员证实,位于洛杉矶的目标服务器1和荷兰服务器被设置为冗余的web服务器。也就是说,每个服务器都托管了上面讨论的三个Tor面板和泄漏站点的副本。目标服务器1还包含带有Hive标志的图像,进一步确定了该服务器是被Hive参与者使用的。
通过分析来自目标服务器2的数据,联邦调查局确定它作为蜂巢网络的后端,并包含蜂巢数据库。
联邦调查局确认,目标服务器2上的数据库是Hive数据库,因为自2022年7月以来,联邦调查局根据联邦搜查令,访问了Hive数据库,以识别受害者并获得解密密钥。当一个受害者被加密时,Hive勒索软件会为该受害者创建一个唯一的解密密钥。在调查过程中,联邦调查局获得了这些解密密钥,并将其分发给了世界各地的受害者。收到这些密钥的受害者证实,他们已经感染了Hive勒索软件,并且他们能够使用这些解密密钥解锁他们的文件。作为解密密钥行动的一部分,在过去的六个月里,联邦调查局能够向336名受害者提供解密密钥,有时是在加密后的几个小时内,为受害者节省了约1.3亿美元的赎金。
除了解密密钥,当联邦调查局检查在目标服务器2上发现的数据库时,联邦调查局发现了Hive通信记录、恶意软件文件哈希值、Hive250个附属机构的4个信息,以及与之前获得的信息一致的受害者信息解密密钥操作。这确认了目标服务器2是蜂房后端服务器。
联邦调查局对目标服务器的审查显示,蜂群管理员设置这些服务器仅仅是为了促进蜂群勒索软件组的犯罪活动。
在2023年1月11日执行搜索期间获得的信息确认,目标服务器是由位于**数据中心的设备托管的。因此,搜查存储在位于加州的数据中心分配给IP地址的计算机服务器(目标服务器)。
FBI的行动对Hive勒索软件组织来说是一个重大打击
谷歌云Mandiant威胁情报主管John Hultquist说,“像这样的行为增加了勒索软件操作的摩擦”。“Hive可能不得不重组,甚至重新命名。当不可能逮捕时,我们将不得不专注于战术解决方案和更好的防御。在我们能够解决俄罗斯的避风港和有弹性的网络犯罪市场之前,这将是我们的重点。”
网络安全公司Emsisoft的分析师布雷特·卡洛(Brett Callow)表示,该行动很容易削弱勒索软件骗子对高回报低风险业务的信心。“收集到的信息可能指向附属机构、洗钱者和其他参与勒索软件供应链的人,”Callow说。
网络安全公司Recorded Future的分析师艾伦·里斯卡(Allan Liska)表示,此次行动表明“执法部门的逮捕、制裁、扣押等多管齐下的战略正在努力减缓勒索软件攻击。” 他预测这将在未来几个月内实施起诉。
前FBI网络心理操作分析师兼Abnormal Security研究负责人Crane Hassold通过电子邮件表示,勒索软件攻击者寻求其他赚钱途径的新兴趋势正在举,这一最新事件可能会为这种现象火上浇油。他说:“我们很可能会开始看到勒索软件参与者转向其他类型的网络攻击,例如商业电子邮件攻击(BEC)。” “BEC是当今对财务影响最大的网络威胁,他们可以简单地重新配置恶意软件以建立对员工邮箱的访问权限,而不是使用他们的初始访问恶意软件在公司网络上立足,这可能会导致更大规模和更复杂的供应商电子邮件攻击。”
Mandiant的高级经理Kimberly Goody表示,与许多勒索软件组织一样,Hive分支机构可能会以不同的名称分散或重组。过去,人们看到勒索运营者雇用了CONTI和MOUNTLOCKER等公司。这表明一些参与者已经在广泛的生态系统中建立了关系,可以使他们轻松地转向使用另一个品牌作为其运营的一部分。
Hive占Mandiant在2022年响应的勒索软件入侵的15%以上,其中50%的公共受害者位于美国。该公司观察到恶意黑客在2022年年中重写了他们的勒索软件,这表明该组织正试图逃避检测。