Europol, çok sayıda HIVE fidye yazılımının altyapısını çökertme konusunda Alman, Hollandalı ve ABD makamlarını destekledi. Bu uluslararası operasyona toplam 13 ülkeden yetkililer katıldı. Kolluk kuvvetleri şifre çözme anahtarlarını belirledi ve onları birçok kurbanla paylaşarak siber suçlulara ödeme yapmadan verilerine yeniden erişmelerine yardımcı oldu.
Geçen yıl HIVE fidye yazılımı, AB ve ABD’deki büyük BT ve petrol çok uluslu şirketlerinin verilerini ve bilgisayar sistemlerini tehlikeye atmak ve şifrelemek için kullanıldığından büyük bir tehdit olarak tanımlandı. Haziran 2021’den bu yana, dünya çapında 80’den fazla ülkeden 1.500’den fazla şirket, HIVE ortaklarının kurbanı oldu ve fidye ödemelerinde yaklaşık 100 milyon Euro kaybetti.
Bağlı kuruluşlar siber saldırıları gerçekleştirdi, ancak HIVE fidye yazılımı geliştiriciler tarafından oluşturuldu, sürdürüldü ve güncellendi. Bağlı kuruluşlar, “hizmet olarak fidye yazılımı”nın çifte gasp modelini kullandı; önce verileri kopyaladılar ve ardından dosyaları şifrelediler. Ardından hem dosyaların şifresini çözmek hem de çalınan verileri Hive Leak Sitesinde yayınlamamak için fidye istediler. Kurbanlar ödediğinde, fidye daha sonra bağlı kuruluşlar (% 80’i alan) ve geliştiriciler (% 20’yi alan) arasında paylaştırıldı.
Diğer tehlikeli fidye yazılımı grupları da son birkaç yılda üst düzey saldırılar gerçekleştirmek için bu sözde hizmet olarak fidye yazılımı (RaaS) modelini kullandı. Bu, etkilenen sistemlerin şifresini çözmek için milyonlarca avro fidye istemeyi de içeriyordu, genellikle kritik altyapıları koruyan şirketlerde. Haziran 2021’den bu yana suçlular, hükümet tesisleri, telekomünikasyon şirketleri, üretim, bilgi teknolojisi ve sağlık ve halk sağlığı dahil olmak üzere birçok işletmeyi ve kritik altyapı sektörünü hedeflemek için HIVE fidye yazılımı kullandı.
Bir büyük saldırıda, HIVE üyeleri bir hastaneyi hedef aldı ve bu da hastanenin COVID-19 salgınıyla nasıl başa çıkabileceği konusunda ciddi sonuçlara yol açtı. Saldırı nedeniyle bu hastane mevcut hastaların tedavisinde analog yöntemlere başvurmak zorunda kaldı ve yenilerini kabul edemedi.
Bağlı kuruluşlar, şirketlere farklı şekillerde saldırdı. Bazı HIVE aktörleri, Uzak Masaüstü Protokolü, sanal özel ağlar ve diğer uzak ağ bağlantısı protokolleri aracılığıyla tek faktörlü oturum açma bilgilerini kullanarak kurbanın ağlarına erişim sağladı.
Diğer durumlarda, HIVE aktörleri çok faktörlü kimlik doğrulamayı atladı ve güvenlik açıklarından yararlanarak erişim elde etti. Bu, kötü niyetli siber suçluların kullanıcı adının büyük/küçük harf durumunu değiştirerek kullanıcının ikinci kimlik doğrulama faktörü sorulmadan oturum açmasını sağladı. Bazı HIVE aktörleri ayrıca, kötü amaçlı ekler içeren kimlik avı e-postaları dağıtarak ve saldırıya uğrayan cihazların işletim sistemlerinin güvenlik açıklarından yararlanarak kurbanın ağlarına ilk erişimi elde etti.
Azaltma çabaları sayesinde 120 milyon Euro tasarruf edildi
Europol, özel şirketlerin HIVE fidye yazılımına kurban gitmesini önleyen diğer AB ülkeleriyle kurban azaltma çabalarını kolaylaştırdı. Kolluk kuvvetleri, güvenliği ihlal edilmiş şirketlere, fidye ödemeden verilerinin şifresini çözmelerine yardımcı olmak için şifre çözme anahtarını sağladı. Bu çaba, 130 milyon dolardan fazla veya yaklaşık 120 milyon avroya eşdeğer fidye ödemesini engellemiştir.
Europol bilgi alışverişini kolaylaştırdı, operasyonun koordinasyonunu destekledi ve Portekiz ve Hollanda’daki operasyonel toplantıları finanse etti. Europol ayrıca mevcut verileri AB içindeki ve dışındaki çeşitli ceza davalarına bağlayan analitik destek sağladı ve kripto para birimi, kötü amaçlı yazılım, şifre çözme ve adli analiz yoluyla soruşturmayı destekledi.
Eylem günlerinde Europol, sahadaki faaliyetleri koordine etmeye yardımcı olması için dört uzman görevlendirdi. Europol, kripto para birimi ve kötü amaçlı yazılım analizini koordine ederek, operasyonel bilgileri Europol’ün veritabanlarıyla çapraz kontrol ederek ve daha fazla operasyonel analiz ve adli destek sağlayarak ilgili kolluk kuvvetlerini destekledi. Bu verilerin ve diğer ilgili vakaların analizinin daha ileri soruşturma faaliyetlerini tetiklemesi beklenmektedir.
Europol’deki Ortak Siber Suç Eylem Görev Gücü (J-CAT) de operasyonu destekledi. Bu daimi operasyon ekibi, yüksek profilli siber suç soruşturmalarında çalışan farklı ülkelerden siber suç irtibat görevlilerinden oluşur.