Bugüne kadar görülen en büyük uluslararası siber yasa uygulama eylemlerinden birinde, Hive fidye yazılımı kartelinin altyapısı saldırıya uğradı, şifre çözme anahtarı “çalındı” ve kurbanlara dağıtıldı ve sunucularına el konularak 18 aydır devam eden suç çılgınlığına son verildi. hastaneler, okullar, finansal hizmetler kuruluşları ve kritik altyapı dahil olmak üzere yaklaşık 1.500 kurbandan 100 milyon dolardan fazla çalındı.
ABD Adalet Bakanlığı (DoJ) tarafından dün (26 Ocak) ilk kez açıklanan operasyonun kapsamı, Kanada, Fransa, Almanya, İrlanda, Litvanya, Hollanda ve Norveç’ten kolluk kuvvetlerini çekecek kadar büyüktü. , Portekiz, Romanya, İspanya, İsveç, Birleşik Krallık ve ABD, Europol aracılığıyla koordine edilen Avrupa ajansları ile.
FBI’ın başı çekmesiyle, Hive’ın altyapısına ilk kez Temmuz 2022’de girildi ve şifre çözme anahtarları sızdırıldı. Anahtarlar o zamandan beri aktif saldırı altındaki 300 Hive kurbanına ve daha önce saldırıya uğramış 1.000’den fazla kurbana dağıtıldı ve potansiyel fidye ödemelerinde tahmini 130 milyon dolar (105.1 milyon £) tasarruf sağlandı. Bağımsız bir araştırmacı, yaklaşık olarak aynı zamanda bir Hive şifre çözme aracını kullanılabilir hale getirdi – operasyonla bir bağlantı olup olmadığı bilinmiyor.
Ardından, bu haftanın başlarında ve Hollanda ulusal siber suç birimi, Alman federal polisi ve Baden-Württemberg eyaletindeki yerel makamlarla birlikte çalışan FBI, Hive’ın kullandığı sunucuların ve web sitelerinin kontrolünü ele geçirerek çetenin daha fazla kurbana saldırmak ve şantaj yapmak.
ABD başsavcı yardımcısı Lisa Monaco, “Adalet Bakanlığı’nın Hive fidye yazılımı grubunu engellemesi, siber suç mağdurları için olduğu kadar failler için de net bir şekilde konuşmalı” dedi.
“21. yüzyıldaki bir siber gözetlemede, araştırma ekibimiz şifre çözme anahtarlarını çalarak, kurbanlara vererek ve sonunda 130 milyon dolardan fazla fidye yazılımı ödemesini önleyerek Hive’ın durumunu tersine çevirdi. Siber suçlara mümkün olan her yolu kullanarak karşılık vermeye devam edeceğiz ve siber tehdidi hafifletme çabalarımızın merkezine kurbanları yerleştireceğiz.”
Birleşik Krallık Ulusal Suç Teşkilatı’nın (NCA) Ulusal Siber Suç Birimi müdür yardımcısı Paul Foster şunları ekledi: “Hive, siber suçluların dünyanın dört bir yanındaki işletmelerden milyonları çalmasına olanak tanıyan bir hizmetti ve Birleşik Krallık’taki birçok kuruluş önemli kesintiler ve mali kayıplar yaşıyordu.
“NCA görevlilerini de içeren uluslararası kolluk kuvvetlerinin birleşik gücü, yasa dışı BT altyapısını ortadan kaldırmak için muazzam bir eylem örneğidir. Bu ulusal güvenlik tehdidiyle mücadele etme yeteneğimizi güçlendirmek ve Birleşik Krallık’ın siber suçlara karşı tepkisini güçlendirmek için ortaklarımızla yakın bir şekilde çalışmaya devam ediyoruz.
“Siber suç kurbanı olabilecek tüm işletmeleri öne çıkıp bu tür olayları kolluk kuvvetlerine bildirmeye davet ediyorum.”
Hive’ın vurduğu hastane hastaları geri çevirmek zorunda kaldı
Nispeten genç olmasına rağmen, Hive fidye yazılımı karteli, daha üretken ve tehlikeli hizmet olarak fidye yazılımı (RaaS) operasyonlarından biri olarak sağlam bir şekilde kuruldu ve aboneliğe dayalı bir model işleterek, kirli işlerini yapmak için bağlı kuruluşları işe aldı. Kendisi için fidye ödemelerinde %20 kesinti.
Bir zamanlar Google Cloud’un Mandiant’taki olay müdahale görevlileri tarafından gözlemlenen en üretken fidye yazılımı ailesiydi ve geçen yıl yanıt verdiği izinsiz girişlerin %15’ini oluşturuyordu.
Fidye yazılımı dolabının kendisi aktif geliştirme aşamasındaydı ve özellikle 2022’nin ortalarında Rust programlama dilinde tamamen yeniden yazıldı, muhtemelen analizi engellemek ve araştırmacıları ve müfettişleri yoldan çıkarmak amacıyla. Rust, hem Windows hem de Linux ortamlarını hızlı ve kolay bir şekilde hedefleyebilmeleri ve esneklikleri nedeniyle RaaS operatörleri tarafından değer verilen bir dizi çok platformlu dilden biridir.
Mandiant’a göre Hive birden fazla aktör tarafından kullanıldı, ancak en hevesli Hive operatörlerinden biri, daha önce Mayıs 2021’de İrlanda Sağlık Hizmetleri Yöneticisini hedef alan Conti fidye yazılımı operasyonu olarak bilinen Gold Ulrick veya Wizard Spider olarak da izlenen UNC2727 idi. .
Bağlı kuruluşlar, hedef ağlarına, genellikle uzak masaüstü protokolü (RDP) aracı aracılığıyla tek faktörlü oturum açma yoluyla, ancak aynı zamanda sanal özel ağlar (VPN’ler) ve diğer uzak ağ bağlantı protokollerini kullanarak FortiToken’ı kullanarak denenmiş ve test edilmiş bir dizi yöntem kullanarak erişti. güvenlik açıkları ve kötü amaçlı ekler içeren kimlik avı e-postaları. Hive bağlı kuruluşlarının da Microsoft Exchange Server’daki ProxyShell güvenlik açığı zincirinden yararlandığı bilinmektedir.
Kötü amaçlı yazılım, yalnızca kurbanların verilerini şifreleyip erişilemez kılmakla kalmayan, aynı zamanda verileri çalıp bir karanlık web sızıntı sitesinde yayınlayan, daha fazla sıkıntı ve utanca neden olan ve ek bir “teşvik” görevi gören köklü çifte gasp tekniğini kullandı. kurbanlarının ödemesi için. Mevcut hastaları tedavi etmek için analog yöntemlere başvurmak zorunda kalan ve saldırının ardından yeni hastaları kabul edemeyen bir hastaneye saldıran bir vakada kurbanların operasyonlarında büyük aksamalara neden oldu.
Birleşik Krallık’ta NCA, Hive bağlı kuruluşlarının konut, nakliye, ticaret ve eğitim sektörleri dahil olmak üzere yaklaşık 50 kurbanı vurduğunu söyledi.
Siber suç piyasası dayanıklılığını kanıtlayacak
Bununla birlikte, ortak operasyonun başarısına rağmen, uzmanlar yeraltı fidye yazılımının Hive’ın bozulmasını büyük ölçüde aşacağını değerlendirme eğilimindedir. Gerçekten de, Hive ile ilişkili kişilerin zaten diğer operasyonlarla bağlarını sağlamlaştırması mümkün, hatta muhtemeldir – Hive ile Aralık 2022’de Birleşik Krallık otomobil satıcısı Arnold’a yapılan saldırının arkasında olduğu düşünülen yeni ortaya çıkan bir fidye yazılımı Play arasında benzerlikler zaten kaydedilmiştir. Clark.
Mandiant Tehdit İstihbaratı başkanı John Hultquist şunları söyledi: “Hive hizmetinin kesintiye uğraması, genel fidye yazılımı etkinliğinde ciddi bir düşüşe neden olmayacak, ancak sağlık sistemine saldırarak yaşamları tehlikeye atan tehlikeli bir grup için bir darbe olacaktır.
“Ne yazık ki, fidye yazılımı sorununun merkezindeki suç piyasası, bir Hive rakibinin yokluğunda benzer bir hizmet sunmaya hazır olmasını sağlıyor, ancak fidye yazılımlarının hastaneleri hedef almak için kullanılmasına izin vermeden önce iki kez düşünebilirler.”
Devam etti: “Bunun gibi eylemler, fidye yazılımı operasyonlarına sürtüşme katıyor. Hive’ın yeniden gruplanması, yeniden donatılması ve hatta yeniden markalanması gerekebilir. Tutuklamalar mümkün olmadığında, taktiksel çözümlere ve daha iyi savunmaya odaklanmamız gerekecek. Rusya’nın güvenli bölgesini ve esnek siber suç pazarını ele alana kadar, odak noktamız bu olmalı.”