筹集了1亿美元,并被FBI渗透了六个月。2022年最赚钱的组织消失了。渗透,臭名昭著的Hive勒索软件组织被FBI和国际刑警组织捣毁:该组织的IT基础设施已被完全破坏,Tor支付和数据泄露站点被查封,警方获得了两台服务器和一台虚拟专用服务器的访问权限,以及两台备份专用服务器的访问权限托管在荷兰……目前,Hive勒索软件集团在暗网上的泄露站点显示了俄语和英语交替显示的消息:“作为全球协调执法的一部分,这个隐藏的网站已被FBI查获。“这也意味着FBI已经完全控制了Hive的核心站点。与此同时,美国司法部长梅里克表示,警方正在构建一张Hive开发者、管理员和附属机构的地图,作为逮捕、查获Hive勒索软件团体和其他行动的重要支持证据。据美国司法部称,自2022年7月下旬以来,FBI持续渗透Hive勒索软件组织,破解其解密密钥,并提供给全球300多名受害者。超过1,000个额外的解密密钥,从而避免了大约1.3亿美元的赎金支付。换言之,Hive勒索集团已经基本被歼灭,但存在一个明显的遗留问题:Hive勒索集团的核心成员依然逍遥法外。这意味着Hive勒索组织随时可能死灰复燃,只需换上马甲,再次成为全球网络安全的毒瘤。争夺1亿美元,Hive将成为2022年最赚钱的勒索组织2021年6月,Hive勒索组织开始在全球网络空间肆虐,以“勒索即服务”模式运作,并招募“附属组织”对于外部部署,主要针对医疗机构和其他配置薄弱且无法抵御网络攻击的企业。2022年11月,美国司法部公布了一组震惊业界的数据:截至2022年11月,Hive勒索病毒组织已攻击超过1500家企业,成功获得约1亿美元的赎金,堪称勒索病毒软件组织中最赚钱的存在。2021年8月,该团伙声称总部位于伊利诺伊州的MemorialHealthSystem是其第一个医疗保健行业受害者,其次是哥斯达黎加的公共卫生服务和纽约的应急响应和救护车服务提供商EmpressEMS。10月,Hive还瞄准了印度最大的发电公司TataPower。这些华而不实的操作,也让Hive勒索组织迅速在业界获得了不小的声望。为了运行“勒索软件即服务”模型,Hive管理员建立了一个服务器网络来运行他们的在线犯罪活动。面向公众的一面或网络的“前端”由四个可访问的网站或“面板”组成,每个都针对不同类型的用户/观众。Hive参与者使用但公众无法访问的单独服务器托管了一个支持Tor的前端数据库面板和泄露的网站。登录到管理面板上的用户界面,管理员能够管理Hive数据库、跟踪攻击、与关联公司就针对特定受害者的活动进行沟通,并与受害者协商支付赎金。Hive勒索团伙常用的入侵方式包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)等远程网络连接协议进行单因素登录;利用FortiToken漏洞;并发送带有恶意附件的钓鱼邮件。公开资料显示,Hive勒索病毒使用GO语言编写,加密算法采用AES+RSA。同时,该勒索病毒还采用“双重”勒索模式,通过在暗网上公布受害者资料的方式,迫使受害者支付赎金。勒索组织虽然刚刚出现,但已经成为高度活跃和危险的勒索组织之一。所谓“双重勒索”,就是受害者已经支付了赎金,攻击者可以再次封锁受害者数据的攻击。攻击者会在加密目标系统数据之前窃取数据。这样,即使受害者有备份数据,勒索软件仍然可以使用。泄露数据作为支付赎金的威胁。更有什者,对于那些不支付赎金的公司,Hive勒索软件集团会在其网络中部署更多的恶意软件,例如使用其他勒索软件变种反复感染目标用户,严重打击公司的系统更新速度和业务恢复速度.国际网络警察六个月渗透2022年,美国FBI联合德国、加拿大、法国、立陶宛、荷兰、挪威、葡萄牙、罗马尼亚、西班牙、瑞典和英国,共同组成全球执法团队攻击Hive勒索软件组织。进行围攻。7月,FBI渗透了Hive的计算机网络,并阻止了Hive勒索软件组织的多次勒索软件攻击,包括对路易斯安那州一家医院、一家食品服务公司和德克萨斯州一个学区的攻击。在这六个月的行动中,联邦调查局和欧洲警方非常有耐心。在Hive勒索组织毫不知情的情况下,悄悄潜伏其中,逐步探索组织内部组件、网络、目标服务器等。例如,在渗透过程中,FBI成功发现了位于洛杉矶的Hive勒索软件组的两台专用服务器和一台虚拟专用服务器(VPS)镜像。这两个专用服务器分别与IP地址(目标服务器1)(目标服务器2)相关联。通过分析从所有服务器搜索中获得的证据,调查人员确认它们都被Hive勒索软件组使用。特别是,调查人员确认位于洛杉矶的TargetServer1和荷兰服务器被设置为冗余Web服务器。通过分析来自目标服务器2的数据,FBI确定它充当Hive网络的后端并包含Hive数据库。除了解密密钥外,当FBI检查在目标服务器2上找到的数据库时,FBI还发现了Hive通信记录、恶意软件文件哈希、Hive的250个分支机构中的4个的信息,以及与先前获得的受害者信息解密密钥操作相关的信息与一致的信息。这只是一个例子。最终,Hive勒索组织被FBI接管,整个组织架构满目疮痍。目前尚不清楚Hive勒索软件团伙的主要头目和核心成员是否已经落网。众所周知,目前有很多国家并没有对敲诈勒索组织成员采取打压的姿态,而且一些敲诈勒索组织还设有政府部门,这对抓捕敲诈勒索组织成员、打击敲诈勒索组织造成了明显障碍。敲诈勒索组织不够彻底。他们完全可以换上马甲,发动新的勒索软件攻击。曾经赫赫有名的Conti勒索组织因FBI的打压而倒闭,但该组织随后成立了新的勒索组织,继续在全球范围内发动勒索攻击。继续加强打击勒索病毒攻击美国FBI与欧洲警方联合执法,对Hive勒索病毒组织进行了彻底打击,进一步体现了世界主要国家对勒索病毒攻击的态度。2019年以来,勒索攻击以超高的经济效益、超强的危害性、企业无法抗拒的难度等因素开启了疯狂的增长之路。勒索攻击的目标也从中小型企业跃升至大型跨国公司、行业龙头企业、国家关键基础设施等。甚至敲诈勒索组织也开始针对某些国家和地区,态度咄咄逼人,愈演愈烈。在网络安全领域的这场对抗中,勒索软件组织一直处于优势地位。它们以其多样、复杂、先进的攻击手段,给无数企业和政府部门带来了巨大危害。最后,勒索组织也迎来了前所未有的打击。随着越来越多的企业拒绝支付赎金,勒索软件组织的日子越来越不好过了。Chainalysis对与勒索软件攻击相关的钱包地址的跟踪显示,受害者在2022年支付了4.57亿美元的赎金,而2021年为7.66亿美元。当受害者发现Conti勒索软件背后的黑客组织与俄罗斯有联系时,他们更有理由由于本国政府实施的制裁而拒绝支付赎金。网络安全分析公司Coveware观察到类似的趋势,支付赎金的受害者比例从2019年第一季度的85%下降到2022年第四季度的37%。这意味着联合打击勒索软件组织已成为越来越多公司的选择,并且这也是目前许多国家政府大力倡导的方向。对于勒索软件集团而言,冬天似乎已经来临:Hive勒索软件集团不是第一个,也不会是最后一个。
