FBI kaže da je “hakovao hakere” usluge ransomware-a, uštedivši žrtvama 130 miliona dolara

Ministarstvo pravosuđa objavilo je ove sedmice da su agenti FBI-a uspješno poremetili Hive, ozloglašenu ransomware grupu, i spriječili 130 miliona dolara vrijedne kampanje otkupa čiji ciljevi više ne moraju razmišljati o plaćanju. Iako tvrde da je grupa Hive odgovorna za ciljanje preko 1.500 žrtava u preko 80 zemalja širom svijeta, odjel sada otkriva da se infiltrirao u mrežu grupe mjesecima prije nego što je ove sedmice radio s njemačkim i holandskim zvaničnicima na zatvaranju Hive servera i web stranica.

„Jednostavno, koristeći zakonita sredstva, hakirali smo hakere,“ primijetila je zamjenica državnog tužioca Lisa Monako na konferenciji za novinare.

FBI tvrdi da je tajnim hakiranjem na Hive servere uspio u tišini ugrabiti preko 300 ključeva za dešifriranje i vratiti ih žrtvama čije je podatke grupa zaključala. Američki državni tužilac Merrick Garland rekao je u svojoj izjavi da je u posljednjih nekoliko mjeseci FBI koristio te ključeve za dešifriranje kako bi otključao školski okrug u Teksasu suočen s otkupninom od 5 miliona dolara, bolnicu u Louisiani od koje je traženo 3 miliona dolara, i neimenovane prehrambene usluge kompanija koja se suočila sa otkupninom od 10 miliona dolara.

“Okrenuli smo ploču protiv Hive-a i razbili njihov poslovni model”, rekao je Monako. FBI je Hive smatrao top pet prijetnjom ransomware-a. Prema Ministarstvu pravde, Hive je od juna 2021. primio preko 100 miliona dolara otkupnine od svojih žrtava.

Hiveov model “ransomware-as-a-service (RaaS)” je izrada i prodaja ransomware-a, a zatim regrutovanje “povezanih osoba” da izađu i implementiraju ga, pri čemu administratori Hive uzimaju 20 posto prihoda i objavljuju ukradene podatke na “HiveLeaks” sajt ako je neko odbio da plati. Povezane kompanije, prema Američkoj agenciji za kibernetičku sigurnost i sigurnost infrastrukture (CISA), koriste metode kao što su krađa identiteta putem e-pošte, iskorištavanje ranjivosti FortiToken autentikacije i dobivanje pristupa VPN-ovima kompanije i udaljenim radnim površinama (koristeći RDP) koji su zaštićeni samo jednofaktorskim prijavama.

CISA upozorenje iz novembra objašnjava kako su napadi ciljani na kompanije i organizacije koje imaju svoje Microsoft Exchange servere. Kod koji se daje njihovim filijalama koristi prednosti poznatih eksploatacija kao što je CVE-2021-31207, koji, uprkos tome što su zakrpljeni od 2021. godine, često ostaju ranjivi ako nisu primijenjena odgovarajuća ublažavanja.

Jednom kada uđu, njihov obrazac je da koriste vlastite protokole za upravljanje mrežom organizacije za isključivanje bilo kojeg sigurnosnog softvera, brisanje dnevnika, šifriranje podataka i, naravno, ostavljanje HOW_TO_DECRYPT.txt bilješke o otkupnini u šifriranim direktorijima koji povezuju žrtve na panel za ćaskanje uživo kako bi pregovarali oko zahtjeva za otkupninom.

Hive je najveća grupa ransomware-a koju su federalci uklonili od REvil-a 2021. – koja je bila odgovorna za curenje MacBook shema od Apple dobavljača, kao i najvećeg svjetskog dobavljača mesa. A ranije te godine, grupe kao što je DarkSide uspješno su otišle sa isplatom od 4,4 miliona dolara nakon što su prodrle u sisteme Colonial Pipeline-a u incidentu koji je uzrokovao skok cijena plina u zemlji. Međutim, najskuplji napad na ransomware koji će biti objavljen je osiguravajuća kompanija CNA Financial, koja je na kraju platila hakerima 40 miliona dolara.

FBI je tokom ispitivanja Hivea pronašao više od 1.000 ključeva za šifriranje vezanih za prethodne žrtve grupe, a direktor FBI-ja Christopher Wray je primijetio da se samo 20 posto otkrivenih žrtava obratilo FBI-u za pomoć. Mnoge žrtve napada ransomware-a suzdržavaju se od kontaktiranja FBI-a zbog straha od posljedica hakera i nadzora u njihovim industrijama zbog neuspjeha da se osiguraju.

Međutim, pošto hakeri dobijaju svoje dane, to daje pogon industriji ransomware-a da nastavi s tim. FBI se nada da može uvjeriti više žrtava da se jave i rade s njima umjesto da se priklanjaju zahtjevima. “Kada žrtva istupi, može napraviti svu razliku u povratu ukradenih sredstava ili pribavljanju ključeva za dešifriranje”, rekao je Monako.