Οι ιστότοποι πληρωμών Tor και διαρροής δεδομένων της επιχείρησης Hive ransomware κατασχέθηκαν ως μέρος διεθνούς επιχείρησης επιβολής του νόμου μετά την διείσδυση του FBI στην υποδομή της συμμορίας τον περασμένο Ιούλιο.
Δείτε επίσης: Η Yandex αρνείται το hack και λέει ότι πρώην υπάλληλος διέρρευσε τον πηγαίο κώδικα
Το Υπουργείο Δικαιοσύνης των ΗΠΑ και η Europol αποκάλυψαν σήμερα ότι τον Ιούλιο του 2022, μια μυστική διεθνής επιχείρηση επιβολής του νόμου διείσδυσε στην υποδομή της συμμορίας Hive ransomware για περίπου μισό χρόνο πριν τελικά αποκαλυφθεί.
Μέσω αυτού του εγχειρήματος, μπόρεσαν να προβλέψουν τις απειλές πριν από την εκδήλωσή τους και να ειδοποιήσουν τα υποψήφια θύματα. Επιπλέον, με την παροχή κλειδιών αποκρυπτογράφησης σε όσους επλήγησαν, εξοικονομήθηκαν περίπου 130 εκατομμύρια δολάρια που διαφορετικά θα είχαν καταβληθεί σε λύτρα.
Σε αίτημα έκδοσης εντάλματος, το FBI αποκάλυψε ότι απέκτησε πρόσβαση σε δύο αποκλειστικούς servers και έναν εικονικό ιδιωτικό server που φιλοξενούνται στην Καλιφόρνια. Αυτοί ήταν μισθωμένοι με διευθύνσεις ηλεκτρονικού ταχυδρομείου που συνδέονταν με μέλη της Hive.
Σε μια κοινή επιχείρηση, οι ολλανδικές αρχές επιβολής του νόμου απέκτησαν πρόσβαση σε δύο backup servers που βρίσκονται εντός της Ολλανδίας.
Αξιοποιώντας αυτή την πρόσβαση, οι αρχές επιβολής του νόμου επιβεβαίωσαν ότι οι εν λόγω servers λειτουργούσαν ως η κύρια πηγή διαρροής δεδομένων για την επιχείρηση και χρησιμοποιούνταν για διαπραγματεύσεις και διαδικτυακούς πίνακες από τους φορείς εκμετάλλευσης και τους συνεργάτες.
Δείτε επίσης: Η παραβίαση δεδομένων της Zacks Investment Research επηρεάζει 820.000 πελάτες
Οι ιστοσελίδες Tor της συμμορίας ransomware εμφανίζουν τώρα μια ειδοποίηση κατάσχεσης που περιλαμβάνει ένα ευρύ φάσμα άλλων χωρών που εμπλέκονται στην επιχείρηση επιβολής του νόμου, όπως η Γερμανία, η Καντά, η Γαλλία, η Λιθουανία, η Ολλανδία, η Νορβηγία, η Πορτογαλία, η Ρουμανία, η Ισπανία, η Σουηδία και το Ηνωμένο Βασίλειο.
Σε αντίθεση με τις παραδοσιακές ειδοποιήσεις κατάσχεσης που χρησιμοποιούνται από τις αρχές επιβολής του νόμου, αυτή η εικόνα είναι ένα κινούμενο GIF που εναλλάσσεται μεταξύ ενός μηνύματος στα αγγλικά και στα ρωσικά, προειδοποιώντας άλλες ομάδες ransomware.
Ποιος κρύβεται πίσω από το διαβόητο Hive ransomware
Η διαβόητη συμμορία Hive τρέχει ως ransomware-as-a-service (RaaS) από τον Ιούνιο του 2021. Αυτή η διαβόητη οργάνωση είναι γνωστό ότι διεισδύει σε οργανισμούς μέσω ηλεκτρονικών μηνυμάτων phishing, εκμεταλλευόμενη αδυναμίες σε δημόσια εκτεθειμένες συσκευές, καθώς και χρησιμοποιώντας κλεμμένα credentials.
Μόλις οι χάκερ αποκτήσουν πρόσβαση στο εταιρικό δίκτυο, μετακινούνται γρήγορα και αθόρυβα σε άλλες συσκευές, ενώ παράλληλα κλέβουν μη κρυπτογραφημένα δεδομένα. Απώτερος στόχος τους: μια επίθεση διπλού εκβιασμού με στόχο τα θύματά τους.
Όταν οι κακόβουλοι φορείς αποκτούν διαχειριστική πρόσβαση σε έναν domain controller των Windows, αναπτύσσουν το ύπουλο ransomware σε ολόκληρο το δίκτυο για να κρυπτογραφήσουν κάθε συνδεδεμένη συσκευή.
Δείτε επίσης: CISA: Κυβερνοεπιθέσεις εκμεταλλεύονται νόμιμο λογισμικό απομακρυσμένης παρακολούθησης
Σε αντίθεση με πολλές επιχειρήσεις ransomware που δηλώνουν ότι αποφεύγουν να χτυπήσουν υπηρεσίες υγείας και έκτακτης ανάγκης, το Hive δεν δείχνει καμία αυτοσυγκράτηση όταν πρόκειται για στόχους.
Η ομάδα ransomware έχει προκαλέσει τεράστια ζημιά με τις επιθέσεις της, αφήνοντας στο πέρασμά της θύματα όπως το Memorial Health System, η MediaMarkt, η Bell Technical Solutions (BTS) και η New York Racing Association. Το πιο πρόσφατο θύμα αυτής της κακόβουλης οργάνωσης είναι η Tata Power.
Πηγή πληροφοριών: bleepingcomputer.com
