HIVE ransomware grubunun arkasındaki altyapı, Amerika Birleşik Devletleri ve Avrupa’daki kolluk kuvvetlerinin koordineli bir eylemiyle kaldırıldı. Eylem, Avrupa hükümet kurumlarının yardımıyla ABD Adalet Bakanlığı, FBI ve Gizli Servis tarafından yönetildi.
ABD Başsavcısı Merrick B. Garland, bir Adalet Bakanlığı basınında, “Dün gece, Adalet Bakanlığı, Amerika Birleşik Devletleri’ndeki ve dünyadaki kurbanlardan yüz milyonlarca doları zorla almaktan ve zorla almaya teşebbüs etmekten sorumlu uluslararası bir fidye yazılımı ağını dağıttı” dedi. 26 Ocak’ta yayınlanacak.
Görüntü izniyle: europol.europa.eu
“Bu gizli site ele geçirildi. Federal Soruşturma Bürosu, bu siteye Hive Ransomware’e karşı yürütülen koordineli bir kolluk eyleminin bir parçası olarak el koydu.”
“Bu eylem, Europol’ün önemli yardımı ile Amerika Birleşik Devletleri Florida Orta Bölgesi Savcılığı ve Adalet Bakanlığı Bilgisayar Suçları ve Fikri Mülkiyet Bölümü ile koordinasyon içinde gerçekleştirilmiştir.”
Europol’e göre, Amerika Birleşik Devletleri Gizli Servisi ve FBI, bu operasyonda aşağıdaki kolluk kuvvetleriyle birlikte onlarla birlikte çalıştı:
Kanada Kraliyet Atlı Polisi (RCMP) & Peel Bölge Polisi (Kanada), Police Nationale (Fransa), Federal Kriminal Polis Ofisi ve CID Esslingen (Almanya), Ulusal Polis (İrlanda), Kriminal Polis Bürosu (Litvanya), Ulusal Polis (Hollanda) , Ulusal Polis (Norveç), Adli Polis (Portekiz), Romanya Polisi (Romanya), İspanyol Polisi (İspanya), İsveç Polisi (İsveç) ve Ulusal Suç Teşkilatı (Birleşik Krallık).
Görüntü izniyle: twitter.com/FBI
FBI, Hive fidye yazılımı sunucularını kaldırıyor
DoJ duyurusuna göre FBI, Temmuz 2022’de Hive’ın bilgisayar ağlarına girmeyi başardı, şifre çözme anahtarlarını aldı ve bunları dünya çapındaki kurbanlara yardım etmek için kullandı ve dünya çapında toplam 130 milyon dolarlık fidye ödemesini engelledi.
“Temmuz 2022’de Hive’ın ağına sızdığından beri FBI, saldırıya uğrayan Hive kurbanlarına 300’den fazla şifre çözme anahtarı sağladı. Buna ek olarak, FBI önceki Hive kurbanlarına 1.000’den fazla ek şifre çözme anahtarı dağıttı” dedi.
Bir hizmet olarak fidye yazılımı modeli yürüten Hive, daha önce sağlık ve halk sağlığı kuruluşlarına odaklanarak çok çeşitli sektörleri ve kritik altyapıyı hedefliyordu.
FBI ayrıca, Hive’ın Los Angeles’ta bulunan iki arka uç sunucusuna el konulması da dahil olmak üzere, Hive’ın ABD ve yurtdışındaki ön ve arka uç altyapısını dağıtmaya başladı.
FBI, Hive sunucularını nasıl tespit ettiğini açıklamadı ve basın toplantısında herhangi bir tutuklama veya iddianame duyurulmadı.
ABD Başsavcısı Roger Handberg basın açıklamasında “Siber suçlular dünya çapındaki masum kurbanları avlamak için gelişmiş teknolojiler kullanıyor” dedi.
“Yerli ve uluslararası kolluk ortaklarımızın olağanüstü soruşturma çalışması ve koordinasyonu sayesinde, HIVE’ın daha fazla gasp edilmesi engellendi, kritik ticari operasyonlar kesintisiz olarak devam edebilir ve milyonlarca dolarlık fidye ödemesi önlendi.”
HIVE fidye yazılımı: Çalışma modu
HIVE fidye yazılımı grubu, 2022’de Cybersecurity & Infrastructure Security Agency (CISA) tarafından 2022’nin yeni başlayanları olarak işaretlenen altı çete arasında yer aldı.
Kasım 2022’de yayınlanan bir FBI flaş uyarısına göre, HIVE fidye yazılımı Haziran 2021’den beri hükümet tesisleri, telekomünikasyon şirketleri ve medya, üretim, enerji, bilgi teknolojisi ve sağlık ve halk sağlığı dahil olmak üzere çeşitli sektörleri ve kritik altyapıyı hedeflemek için suçlular tarafından kullanıldı.
“İlk izinsiz giriş yöntemi, hangi bağlı kuruluşun ağı hedeflediğine bağlı olacaktır. Kovan aktörleri, Uzak Masaüstü Protokolü (RDP), sanal özel ağlar (VPN’ler) ve diğer uzak ağ bağlantısı protokolleri aracılığıyla tek faktörlü oturum açma kullanarak kurban ağlarına ilk erişimi elde etti” dedi.
“Bazı durumlarda, Hive aktörleri çok faktörlü kimlik doğrulamayı (MFA) atladı ve CVE-2020-12812 güvenlik açığından yararlanarak FortiOS sunucularına erişim sağladı. Bu güvenlik açığı, kötü niyetli bir siber aktörün, kullanıcı adının büyük/küçük harf durumunu değiştirdiğinde kullanıcının ikinci kimlik doğrulama faktörü (FortiToken) sorulmadan oturum açmasını sağlar.”
Europol’e göre, dünya çapında 80’den fazla ülkeden 1.500’den fazla şirket, Haziran 2021’den bu yana HIVE ortaklarının kurbanı oldu ve fidye ödemelerinde yaklaşık 100 milyon Euro kaybetti.
Europol duyurusu, “Siber saldırıları bağlı kuruluşlar gerçekleştirdi, ancak HIVE fidye yazılımı geliştiriciler tarafından oluşturuldu, sürdürüldü ve güncellendi” dedi.
“Bağlı kuruluşlar, ‘hizmet olarak fidye yazılımı’nın çifte gasp modelini kullandı; önce verileri kopyaladılar ve ardından dosyaları şifrelediler. Ardından hem dosyaların şifresini çözmek hem de çalınan verileri Hive Leak Sitesinde yayınlamamak için fidye istediler. Kurbanlar ödeme yaptığında, fidye daha sonra bağlı kuruluşlar (% 80 alan) ve geliştiriciler (% 20 alan) arasında paylaştırıldı.”