美FBI暗中滲透Hive網絡,挫敗超過1.3億美元的贖金要求
美國司法部在1月26日宣布了針對Hive勒索軟件組織的長達數月的破壞活動,該組織針對全球80多個國家的1,500多名受害者,包括醫院,學校,金融公司和關鍵基礎設施。
自 2022 年 7 月下旬以來,聯邦調查局已經滲透到 Hive 的計算機網絡,捕獲了其解密密鑰,并將其提供給世界各地的受害者,使受害者不必支付 1.3 億美元的贖金。自 2022 年 7 月滲透到 Hive 網絡以來,聯邦調查局已向受到攻擊的 Hive 受害者提供了 300 多個解密密鑰。此外,聯邦調查局還向以前的Hive受害者分發了1000多個額外的解密密鑰。最后,該部門今天宣布,與德國執法部門(德國聯邦刑警和羅伊特林根警察總部-CID Esslingen)和荷蘭國家高科技犯罪部門協調,它已經控制了Hive用來與其成員通信的服務器和網站,破壞了Hive攻擊和勒索受害者的能力。
“昨晚,司法部搗毀了一個國際勒索軟件網絡,該網絡負責向美國和世界各地的受害者勒索和試圖勒索數億美元,”司法部長梅里克·B·加蘭(Merrick B.
Garland)說。“網絡犯罪是一個不斷發展的威脅。但正如我之前所說,司法部將不遺余力地識別任何地方以勒索軟件攻擊為目標的任何人并將其繩之以法。我們將繼續努力防止這些襲擊,并為成為目標的受害者提供支持。我們將與我們的國際伙伴一起,繼續破壞部署這些攻擊的犯罪網絡。
“司法部對Hive勒索軟件組織的破壞應該像對犯罪者一樣清楚地告訴網絡犯罪的受害者,”副總檢察長Lisa O. Monaco說。“在 21 世紀的網絡監視中,我們的調查團隊扭轉了 Hive 的局面,刷了他們的解密密鑰,將它們傳遞給受害者,最終避免了超過 1.3 億美元的勒索軟件付款。我們將繼續使用任何可能的手段打擊網絡犯罪,并將受害者置于我們減輕網絡威脅努力的中心。
“在對世界各地的受害者進行數月的解密之后,Hive計算機網絡的協調中斷表明,通過將不懈地尋找有用的技術信息與受害者分享的調查相結合,我們可以完成什么,旨在發展打擊我們對手的行動,”聯邦調查局局長克里斯托弗雷說。“聯邦調查局將繼續利用我們的情報和執法工具,全球影響力和合作伙伴關系來打擊針對美國企業和組織的網絡犯罪分子。
“我們在此案中的努力為受害者節省了超過一億美元的贖金,并可能增加了更多的補救費用,”司法部刑事司助理檢察長Kenneth A. Polite,Jr.說。“這一行動表明司法部致力于保護我們的社區免受惡意黑客的侵害,并確保犯罪受害者得到完整的保護。此外,我們將繼續調查并追捕Hive背后的演員,直到他們被繩之以法。
“網絡犯罪分子利用先進的技術掠奪世界各地的無辜受害者,”佛羅里達州中區的美國檢察官羅杰漢德伯格說。“由于我們國內和國際執法伙伴的特殊調查工作和協調,HIVE的進一步勒索已被挫敗,關鍵業務運營可以不間斷地恢復,并避免了數百萬美元的贖金支付。
自 2021 年 6 月以來,Hive 勒索軟件組織已針對全球 1,500 多名受害者,并收到了超過 1 億美元的贖金。
Hive 勒索軟件攻擊導致全球受害者日常運營嚴重中斷,并影響了對 COVID-19 大流行的反應。在一個案例中,一家受到 Hive 勒索軟件攻擊的醫院不得不采用模擬方法來治療現有患者,并且無法在攻擊后立即接受新患者。
Hive 使用勒索軟件即服務 (RaaS)
模型,該模型具有管理員(有時稱為開發人員)和附屬公司。RaaS 是一種基于訂閱的模型,開發人員或管理員在其中開發勒索軟件并創建一個易于使用的界面來操作它,然后招募附屬公司來部署針對受害者的勒索軟件。附屬公司確定了目標并部署了這種現成的惡意軟件來攻擊受害者,然后從每次成功的贖金支付中獲得一定比例的贖金。
Hive采用了雙重勒索攻擊模式。在加密受害者系統之前,會員會泄露或竊取敏感數據。然后,該會員要求贖金,以獲得解密受害者系統所需的解密密鑰以及不發布被盜數據的承諾。Hive參與者經常針對受害者系統中最敏感的數據,以增加支付壓力。受害者付款后,附屬機構和管理員按80/20分配贖金。Hive公布了在Hive Leak網站上不付款的受害者的數據。
根據美國網絡安全和基礎設施安全局 (CISA) 的說法,Hive勒索組織已通過多種方法初步訪問受害者網絡,包括:通過遠程桌面協議
(RDP)、虛擬專用網絡 (VPN) 和其他遠程網絡連接協議進行單因素登錄;利用 FortiToken 漏洞;以及發送帶有惡意附件的網絡釣魚電子郵件。有關惡意軟件的更多信息,包括組織有關如何減輕其影響的技術信息,可從 CISA 獲得,請訪問https://www.cisa.gov/uscert/ncas/alerts/aa22-321a。
Hive 勒索軟件的受害者應聯系當地的 FBI 現場辦公室以獲取更多信息。
聯邦調查局坦帕外地辦事處奧蘭多駐地機構正在調查此案。
刑事司計算機犯罪和知識產權科的審判律師Christen Gallagher和Alison Zitron以及佛羅里達州中區的助理美國檢察官Chauncey Bratt正在起訴此案。
司法部還認識到德國羅伊特林根警察總部-CID Esslingen,德國聯邦刑警,歐洲刑警組織和荷蘭政治局的重要合作,美國特勤局,弗吉尼亞州東區美國檢察官辦公室和美國加利福尼亞州中區檢察官辦公室提供了大量援助。司法部國際事務辦公室和網絡行動國際聯絡處也提供了大量協助。此外,下列外國執法當局提供了大量援助和支持:加拿大皮爾地區警察和加拿大皇家騎警、法國中央司法局、立陶宛刑警局、挪威國家刑事調查局(與奧斯陸警區合作)、葡萄牙司法警察、羅馬尼亞打擊有組織犯罪局、西班牙國家警察、葡萄牙警察、葡萄牙警察、羅馬尼亞國家警察、葡萄牙警察、羅馬尼亞國家警察局、法國警察局、法國警察局、俄羅斯聯邦警察局
瑞典警察局和英國國家犯罪局。
調查過程
為了促進RaaS模型,Hive管理員建立了一個服務器網絡來運行他們的在線犯罪業務。網絡面向公眾的一側或“前端”由四個可訪問的網站或“面板”組成,每個網站都面向不同類型的用戶/受眾。一個由Hive參與者使用的但公眾無法訪問的單獨服務器(“后端”服務器)托管了一個支持前端Tor的數據庫面板和泄漏網站。
登錄到管理面板上的用戶界面,管理員能夠管理Hive數據庫,跟蹤攻擊,與附屬機構溝通他們針對特定受害者的活動,并與受害者協商支付贖金。帶有蜂巢圖案的登錄頁面的屏幕截圖如下:
通過附屬機構小組,附屬機構為每個受害者創建一個記錄,輸入有關受害者的信息,下載有關感染的Hive勒索軟件,然后跟蹤進度,包括創建日期、加密日期和付款日期。通過附屬面板輸入的數據存儲在后端數據庫中。附屬公司還可以追蹤與受害者的談判,并通過點擊“支付”按鈕要求他們削減贖金,如下圖所示:
從受害者的報告中,聯邦調查局了解到,當受害者被加密時,Hive會在受害者的系統中留下一張帶有登錄憑證勒索提示,Hive成員稱之為“銷售部門”。通過受害者勒索提示,受害者可以協商支付贖金,接收泄露數據的證明和付款指示,并在支付贖金后獲得解密密鑰。不支付贖金的受害者將把他們的數據公布在蜂巢泄漏網站上,該網站也托管在Tor網站上。
通過分析通過美國法院命令獲得的證據,聯邦調查局證實了Hive管理員租賃來自美國的主機服務器。2023年1月11日,在佛羅里達州中部地區的一名地方法官根據第18 U.S.C.條的規定執行搜查令后§§2703(a),2703(b)(1)(A)和2703(c)(1)(A),美國調查人員獲得了位于加州洛杉磯的兩個專用3服務器(目標服務器)和一個虛擬專用服務器(VPS)的鏡像。這兩個專用服務器分別與IP地址(目標服務器1)(目標服務器2)相關聯。搜查是與在荷蘭的兩個專用服務器(以下簡稱“荷蘭服務器”)上執行搜查令的外國合作伙伴協調執行的。
通過分析從所有服務器的搜索中獲得的證據,調查人員證實,這些證據都被Hive勒索軟件組使用過。特別是,調查人員證實,位于洛杉磯的目標服務器1和荷蘭服務器被設置為冗余的web服務器。也就是說,每個服務器都托管了上面討論的三個Tor面板和泄漏站點的副本。目標服務器1還包含帶有Hive標志的圖像,進一步確定了該服務器是被Hive參與者使用的。
通過分析來自目標服務器2的數據,聯邦調查局確定它作為蜂巢網絡的后端,并包含蜂巢數據庫。
聯邦調查局確認,目標服務器2上的數據庫是Hive數據庫,因為自2022年7月以來,聯邦調查局根據聯邦搜查令,訪問了Hive數據庫,以識別受害者并獲得解密密鑰。當一個受害者被加密時,Hive勒索軟件會為該受害者創建一個唯一的解密密鑰。在調查過程中,聯邦調查局獲得了這些解密密鑰,并將其分發給了世界各地的受害者。收到這些密鑰的受害者證實,他們已經感染了Hive勒索軟件,并且他們能夠使用這些解密密鑰解鎖他們的文件。作為解密密鑰行動的一部分,在過去的六個月里,聯邦調查局能夠向336名受害者提供解密密鑰,有時是在加密后的幾個小時內,為受害者節省了約1.3億美元的贖金。
除了解密密鑰,當聯邦調查局檢查在目標服務器2上發現的數據庫時,聯邦調查局發現了Hive通信記錄、惡意軟件文件哈希值、Hive250個附屬機構的4個信息,以及與之前獲得的信息一致的受害者信息解密密鑰操作。這確認了目標服務器2是蜂房后端服務器。
聯邦調查局對目標服務器的審查顯示,蜂群管理員設置這些服務器僅僅是為了促進蜂群勒索軟件組的犯罪活動。
在2023年1月11日執行搜索期間獲得的信息確認,目標服務器是由位于**數據中心的設備托管的。因此,搜查存儲在位于加州的***數據中心分配給IP地址***的計算機服務器(目標服務器)。
