Departamenti Amerikan i Drejtësisë thotë se kishte akses në rrjet që nga korriku i kaluar, duke marrë dhe kaluar çelësat e deshifrimit tek viktimat përpara se të paguanin sulmuesit.
Departamenti i Drejtësisë njoftoi këtë javë se agjentët e FBI-së ndërprenë me sukses Hive, një grup famëkeq ransomware dhe parandaluan fushatat e shpërblesës me vlerë 130 milionë dollarë, të cilat objektivat nuk kanë më nevojë të marrin në konsideratë pagesën. Ndërsa pretendon se grupi Hive ka qenë përgjegjës për shënjestrimin e mbi 1,500 viktimave në mbi 80 vende në mbarë botën, departamenti tani zbulon se kishte depërtuar në rrjetin e grupit për muaj të tërë përpara se të punonte me zyrtarët gjermanë dhe holandezë për të mbyllur serverët dhe faqet e internetit të Hive këtë javë.
“Thënë thjesht, duke përdorur mjete të ligjshme, ne hakeruam hakerat”, tha zëvendësprokurorja e përgjithshme Lisa Monaco gjatë një konference për shtyp.
FBI pretendon se duke hakuar në mënyrë të fshehtë serverët Hive, ajo ishte në gjendje të rrëmbejë në heshtje mbi 300 çelësa deshifrimi dhe t’ia kalojë ato viktimave, të dhënat e të cilave u bllokuan nga grupi. Prokurori i Përgjithshëm i SHBA Merrick Garland tha në deklaratën e tij se në muajt e fundit, FBI-ja përdori ata çelësa deshifrimi për të zhbllokuar një distrikt shkollor të Teksasit që përballet me një shpërblim prej 5 milionë dollarësh, një spital në Luiziana që i ishte kërkuar 3 milionë dollarë dhe një shërbim ushqimor të paidentifikuar. kompani që u përball me një shpërblim prej 10 milionë dollarësh.
“Ne i kthyem tavolinat në Hive dhe shkatërruam modelin e tyre të biznesit,” tha Monaco. Hive ishte konsideruar si një kërcënim i top pesë ransomware nga FBI. Sipas Departamentit të Drejtësisë, Hive ka marrë mbi 100 milionë dollarë pagesa shpërblimi nga viktimat e saj që nga qershori 2021.
Modeli i Hive “ransomware-as-a-service (RaaS)” është të prodhojë dhe të shesë ransomware, më pas të rekrutojë “affiliate” për të dalë dhe për ta vendosur atë, me administratorët e Hive që marrin 20 për qind të të ardhurave dhe publikojnë të dhëna të vjedhura në një Faqja “HiveLeaks” nëse dikush refuzon të paguajë. Filialet, sipas Agjencisë së Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA (CISA), përdorin metoda si phishing me email, shfrytëzimin e dobësive të vërtetimit të FortiToken dhe marrjen e aksesit në VPN-të e kompanive dhe desktopët në distancë (duke përdorur RDP) që mbrohen vetëm me hyrje me një faktor.
Një alarm i CISA nga nëntori shpjegon se si sulmet synojnë bizneset dhe organizatat që përdorin serverët e tyre Microsoft Exchange. Kodi i ofruar për bashkëpunëtorët e tyre përfiton nga shfrytëzimet e njohura si CVE-2021-31207, të cilat, pavarësisht se janë rregulluar që nga viti 2021, shpesh mbeten të prekshme nëse nuk janë zbatuar masat e duhura zbutëse.
Pasi të hyjnë, modeli i tyre është të përdorin protokollet e menaxhimit të rrjetit të organizatës për të mbyllur çdo softuer sigurie, për të fshirë regjistrat, për të enkriptuar të dhënat dhe, natyrisht, për të lënë pas një shënim shpërblimi HOW_TO_DECRYPT.txt në drejtoritë e koduara që lidh viktimat në një panel bisede të drejtpërdrejtë për të negociuar mbi kërkesat për shpërblim.
Hive është grupi më i madh i ransomware që federatat kanë hequr që nga REvil në 2021 – i cili ishte përgjegjës për rrjedhjen e skemave të MacBook nga një furnizues i Apple, si dhe nga furnizuesi më i madh i mishit në botë. Dhe në fillim të atij viti, grupe si DarkSide u larguan me sukses me një pagesë prej 4.4 milionë dollarësh pasi depërtuan në sistemet e tubacionit Colonial Pipeline në një incident që shkaktoi rritje të çmimeve kombëtare të gazit. Sulmi më i shtrenjtë i ransomware që është publikuar, megjithatë, është kompania e sigurimeve CNA Financial, e cila përfundoi duke paguar hakerat 40 milionë dollarë.
FBI, gjatë pjesëmarrjes së saj në Hive, gjeti më shumë se 1000 çelësa enkriptimi të lidhur me viktimat e mëparshme të grupit dhe drejtori i FBI-së Christopher Wray vuri në dukje se vetëm 20 përqind e viktimave të zbuluara iu drejtuan FBI-së për ndihmë. Shumë viktima të sulmeve të ransomware përmbahen nga kontaktimi me FBI-në nga frika e pasojave nga hakerat dhe shqyrtimi në industritë e tyre për dështimin për të siguruar veten.
Meqenëse hakerët po marrin ditët e tyre të pagesës, megjithatë, ajo po i jep karburant industrisë së ransomware për të vazhduar në të. FBI shpreson se mund të bindë më shumë viktima që të dalin përpara dhe të punojnë me ta në vend që të përkulen me kërkesat. “Kur një viktimë ecën përpara, ajo mund të bëjë ndryshimin në rikuperimin e fondeve të vjedhura ose marrjen e çelësave të deshifrimit,” tha Monaco.
