Bộ Tư pháp đã công bố trong tuần này rằng các đặc vụ FBI phá thành công Hive, một nhóm ransomware khét tiếng và đã ngăn chặn các chiến dịch đòi tiền chuộc trị giá 130 triệu đô la mà các mục tiêu không cần phải cân nhắc trả tiền nữa. Trong khi tuyên bố nhóm Hive chịu trách nhiệm nhắm mục tiêu vào hơn 1.500 nạn nhân ở hơn 80 quốc gia trên toàn thế giới, bộ hiện tiết lộ rằng họ đã xâm nhập vào mạng của nhóm trong nhiều tháng trước khi làm việc với các quan chức Đức và Hà Lan để đóng cửa các máy chủ và trang web của Hive trong tuần này.
“Nói một cách đơn giản, bằng các biện pháp hợp pháp, chúng tôi đã tấn công các tin tặc,” Phó Tổng chưởng lý Lisa Monaco nhận xét trong một cuộc họp báo.
FBI tuyên bố rằng bằng cách bí mật xâm nhập vào các máy chủ của Hive, họ đã có thể lặng lẽ lấy được hơn 300 khóa giải mã và chuyển chúng lại cho những nạn nhân có dữ liệu bị khóa bởi nhóm. Tổng chưởng lý Hoa Kỳ Merrick Garland cho biết trong tuyên bố của mình rằng trong vài tháng qua, FBI đã sử dụng các khóa giải mã đó để mở khóa một khu học chánh ở Texas đang phải đối mặt với khoản tiền chuộc 5 triệu đô la, một bệnh viện ở Louisiana đã được yêu cầu 3 triệu đô la và một dịch vụ thực phẩm không tên. công ty phải đối mặt với khoản tiền chuộc 10 triệu đô la.
Monaco cho biết: “Chúng tôi đã lật ngược tình thế với Hive và phá vỡ mô hình kinh doanh của họ. Hive đã được FBI coi là năm mối đe dọa ransomware hàng đầu. Theo Bộ Tư pháp, Hive đã nhận được hơn 100 triệu đô la tiền chuộc từ các nạn nhân kể từ tháng 6 năm 2021.
Mô hình “ransomware-as-a-service (RaaS)” của Hive là tạo và bán ransomware, sau đó tuyển dụng “các chi nhánh” để ra ngoài và triển khai nó, với việc các quản trị viên Hive lấy 20% số tiền thu được và xuất bản dữ liệu bị đánh cắp trên một trang web. trang web “HiveLeaks” nếu ai đó từ chối trả tiền. Theo Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA), các chi nhánh sử dụng các phương pháp như lừa đảo qua email, khai thác lỗ hổng xác thực FortiToken và giành quyền truy cập vào VPN của công ty và máy tính để bàn từ xa (sử dụng RDP) chỉ được bảo vệ bằng thông tin đăng nhập một yếu tố.
Một cảnh báo CISA từ tháng 11 giải thích cách các cuộc tấn công nhắm mục tiêu vào các doanh nghiệp và tổ chức đang chạy máy chủ Microsoft Exchange của riêng họ. Mã được cung cấp cho các chi nhánh của họ tận dụng các khai thác đã biết như CVE-2021-31207mặc dù đã được vá từ năm 2021, nhưng vẫn thường dễ bị tấn công nếu không áp dụng các biện pháp giảm thiểu thích hợp.
Sau khi họ tham gia, mô hình của họ là sử dụng các giao thức quản lý mạng riêng của tổ chức để tắt mọi phần mềm bảo mật, xóa nhật ký, mã hóa dữ liệu và tất nhiên, để lại ghi chú đòi tiền chuộc HOW_TO_DECRYPT.txt trong các thư mục được mã hóa kết nối nạn nhân đến một bảng trò chuyện trực tiếp để thương lượng về các yêu cầu tiền chuộc.
“Khi một nạn nhân bước tới, điều đó có thể tạo nên sự khác biệt”
Hive là nhóm ransomware lớn nhất mà liên đoàn đã triệt hạ kể từ REvil vào năm 2021 — nhóm chịu trách nhiệm làm rò rỉ sơ đồ MacBook từ một nhà cung cấp của Apple cũng như nhà cung cấp thịt lớn nhất thế giới. Và đầu năm đó, các nhóm như DarkSide đã thành công với khoản thanh toán 4,4 triệu đô la sau khi thâm nhập vào hệ thống của Colonial Pipeline trong một sự cố khiến giá xăng quốc gia tăng vọt. Tuy nhiên, cuộc tấn công ransomware đắt nhất từng được công bố là công ty bảo hiểm CNA Financial, cuối cùng đã trả cho tin tặc 40 triệu đô la.
FBI, trong quá trình theo dõi Hive, đã tìm thấy hơn 1.000 khóa mã hóa gắn liền với các nạn nhân trước đây của nhóm và Giám đốc FBI Christopher Wray lưu ý rằng chỉ có 20% nạn nhân được phát hiện liên hệ với FBI để được giúp đỡ. Nhiều nạn nhân của các cuộc tấn công ransomware không liên hệ với FBI vì sợ hậu quả từ tin tặc và sự giám sát trong ngành của họ vì không đảm bảo an toàn cho bản thân.
Tuy nhiên, vì các tin tặc đang nhận được tiền của họ, nên nó đang tiếp thêm động lực cho ngành công nghiệp ransomware. FBI hy vọng có thể thuyết phục thêm nhiều nạn nhân đứng ra làm việc với họ thay vì tuân theo các yêu cầu. Monaco cho biết: “Khi một nạn nhân tiến tới, điều đó có thể tạo ra sự khác biệt trong việc lấy lại số tiền bị đánh cắp hoặc lấy được chìa khóa giải mã.
Nguồn: www.theverge.com