26 января стало известно о захвате инфраструктуры и ключей дешифровки вымогателей из группы Hive (англ. «Улей») — на их ресурсе сейчас висит заглушка на английском и русском языках с надписью «Сайт конфискован ФБР».
«Это довольно важный шаг, однако без ареста участников Hive и аффилированных с ними лиц — это лишь половина победы, — считает Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB. — Есть многочисленные примеры, когда после активных действий правоохранительных органов оставшиеся на свободе организаторы преступного бизнеса просто проводили “ребрендинг” — переименовали группу, создавали для нее новую инфраструктуру и работали дальше. Так было, например, с REvil, DarkSide и Conti».
Команда Group-IB следит за деятельностью Hive с момента появления банды в июне 2021 года — мы первыми провели подробное исследование их партнерской программы и изучили “админку” изнутри. Hive недаром называют одной из наиболее агрессивных “партнерок”, члены которые трудились как пчелы и были абсолютно “всеядны”. Например, атаковали больницы, которые другие группы вымогателей обходили стороной.
Именно Hive поставила рекорд 2021 года до сумме требуемого выкупа — $240 млн. от концерна MediaMarkt, крупнейшего европейского ритейлера электроники. Согласно свежему аналитическому отчету «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023», в период с июля 2021 года по июнь 2022 года Hive была третьей по активности бандой вымогателей в мире, разместив информацию о 146 жертвах на своем специальном DLS-сайте, где злоумышленники выкладывают данные атакованных компаний.
Реальное количество пострадавших от Hive намного больше — ошибка API на DLS-ресурсе вымогателей позволила команде Group-IB установить, что в среднем только 10-15% компаний, подвергшихся атакам, попадают в DLS — остальные предпочитают сразу платить.
Причины успеха Hive не только в том, что группа «выкручивала руки» жертвам, публикуя информацию на DLS, но и активно работала по модели партнерской программы Ransomware-as-a-Service. Суть RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и шифрования. И хотя с технической точки зрения программа-вымогатель и имела свои недостатки, однако партнеры шли в Hive из-за удобной инфраструктуры. Так, после раскола в группе Conti, многие из ее участники перешли именно в Hive.
Еще одной отличительной особенностью Hive являлся то, что группа оперативно проводила «работу над ошибками». Например, после того как корейские исследователи опубликовали научную статью о принципах дешифровки, а криминалисты Group-IB написали декриптор (дешифратор) для четвертой версии вымогателя Hive для Windows (и благодаря этому, кстати, смогли расшифровать сеть медицинской организации в Азиатско-Тихоокеанском регионе), а потом еще помогли разработать дешифратор для пятой версии, Hive внимательно следила за этим процессом и оперативно выпускала новые версии вымогателя.
Подводя итог, можем спрогнозировать следующее развитие событий. Учитывая амбиции Hive и общемировой рост угроз со стороны программ-вымогателей, команду вымогателя рано списывать со счетов — пока оставшиеся на свободе разработчики Hive будут создавать новую инфраструктуру, их партнеры временно перераспределяться между другими RaaS.
Осталось только добавить, что миссия Group-IB заключается в борьбе с киберпреступностью. Мы расследуем киберинциденты более 19 лет и хорошо знаем: атакующего можно остановить двумя способами — технологически, когда он не сможет совершить атаку, благодаря средствам защиты, и физически — когда он будет арестован и передан правосудию.
ссылка на оригинал статьи https://habr.com/ru/articles/713242/
Добавить комментарий