Το FBI λέει ότι "χάκαρε τους χάκερς" μιας υπηρεσίας ransomware, εξοικονομώντας στα θύματα 130 εκ. δολάρια

Το υπουργείο ισχυρίζεται ότι η ομάδα Hive ήταν υπεύθυνη για τη στοχοποίηση πάνω από 1.500 θυμάτων σε περισσότερες από 80 χώρες παγκοσμίως, ενώ αποκαλύπτει λ ότι είχε διεισδύσει στο δίκτυο της ομάδας για μήνες πριν συνεργαστεί με αξιωματούχους της Γερμανίας και της Ολλανδίας για να κλείσει τους servers και τους ιστότοπους της Hive αυτή την εβδομάδα.

«Με απλά λόγια, χρησιμοποιώντας νόμιμα μέσα, χακάραμε τους χάκερ», παρατήρησε η αναπληρώτρια γενική εισαγγελέας, Λίζα Μονακό, κατά τη διάρκεια συνέντευξης Τύπου Το FBI ισχυρίζεται ότι με την κρυφή εισβολή στους servers της Hive, κατάφερε να αρπάξει αθόρυβα πάνω από 300 κλειδιά αποκρυπτογράφησης και να τα μεταβιβάσει στα θύματα των οποίων τα δεδομένα είχαν κλειδωθεί από την ομάδα. Ο Γενικός Εισαγγελέας των ΗΠΑ Μέρικ Γκάρλαντ ανέφερε στη δήλωσή του ότι τους τελευταίους μήνες, το FBI χρησιμοποίησε αυτά τα κλειδιά αποκρυπτογράφησης για να ξεκλειδώσει τα δεδομένα μια σχολικής περιφέρειας του Τέξας που καλούνταν να καταβάλλει λύτρα ύψους 5 εκατομμυρίων δολαρίων, ένα νοσοκομείο της Λουιζιάνα από το οποίο είχαν ζητηθεί 3 εκατομμύρια δολάρια και μια ανώνυμη εταιρεία παροχής υπηρεσιών τροφίμων που έπρεπε να καταβάλλει λύτρα ύψους 10 εκατομμυρίων δολαρίων.

«Φέραμε τα πάνω κάτων στην Hive και καταστρέψαμε το επιχειρηματικό τους μοντέλο», δήλωσε η Μονακό. Το Hive είχε θεωρηθεί από το FBI ως μια από τις πέντε μεγαλύτερες απειλές ransomware. Σύμφωνα με το Υπουργείο Δικαιοσύνης, το Hive έχει λάβει πάνω από 100 εκατομμύρια δολάρια σε πληρωμές λύτρων από τα θύματά του από τον Ιούνιο του 2021.

Το μοντέλο "ransomware-as-a-service (RaaS)" της Hive είναι να κατασκευάζει και να πωλεί ransomware, στη συνέχεια να στρατολογεί "συνεργάτες" για να βγουν και να το αναπτύξουν, με τους διαχειριστές της Hive να παίρνουν ένα ποσοστό 20% από τυχόν έσοδα και να δημοσιεύουν τα κλεμμένα δεδομένα σε έναν ιστότοπο "HiveLeaks", εάν κάποιος αρνούνταν να πληρώσει. Οι θυγατρικές, σύμφωνα με την αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), χρησιμοποιούν μεθόδους όπως το phising, την εκμετάλλευση ευπαθειών στον έλεγχο ταυτότητας FortiToken και την απόκτηση πρόσβασης σε εταιρικά VPN και απομακρυσμένους υπολογιστές γραφείου (με χρήση RDP) που δεν προστατεύονται με σύστημα 2FA.

Μια ειδοποίηση της CISA από τον Νοέμβριο εξηγεί πώς οι επιθέσεις στοχεύουν επιχειρήσεις και οργανισμούς που διαχειρίζονται τους δικούς τους servers Microsoft Exchange. Ο κώδικας που παρέχεται στις θυγατρικές τους εκμεταλλεύεται γνωστά exploits όπως το CVE-2021-31207, τα οποία, παρά το γεγονός ότι έχουν επιδιορθωθεί από το 2021, συχνά παραμένουν ευάλωτα εάν δεν έχουν εφαρμοστεί τα κατάλληλα μέτρα.

Μόλις εισέλθουν, το μοτίβο τους είναι να χρησιμοποιούν τα πρωτόκολλα διαχείρισης δικτύου του ίδιου του οργανισμού για να απενεργοποιήσουν οποιοδήποτε λογισμικό ασφαλείας, να διαγράψουν τα αρχεία καταγραφής, να κρυπτογραφήσουν τα δεδομένα και, φυσικά, να αφήσουν πίσω τους ένα σημείωμα λύτρων HOW_TO_DECRYPT.txt σε κρυπτογραφημένους καταλόγους, το οποίο συνδέει τα θύματα σε μια σελίδα live chat για να διαπραγματευτούν πάνω στις απαιτήσεις λύτρων.

Το Hive είναι η μεγαλύτερη ομάδα ransomware που έχουν εξουδετερώσει οι ομοσπονδιακοί μετά το REvil το 2021 - το οποίο ήταν υπεύθυνο για τη διαρροή σχεδίων MacBook από έναν προμηθευτή της Apple καθώς και από τον μεγαλύτερο προμηθευτή κρέατος στον κόσμο. Και νωρίτερα το ίδιο έτος, ομάδες όπως η DarkSide κατάφεραν να κερδίσουν 4,4 εκατομμυρίων δολαρίων μετά τη διείσδυση στα συστήματα της Colonial Pipeline σε ένα περιστατικό που προκάλεσε την εκτόξευση των εθνικών τιμών φυσικού αερίου στα ύψη. Η πιο ακριβή επίθεση ransomware που έχει δημοσιοποιηθεί, ωστόσο, είναι η ασφαλιστική εταιρεία CNA Financial, η οποία κατέληξε να πληρώσει στους hackers 40 εκατομμύρια δολάρια.

Το FBI, κατά τη διάρκεια της παρακολούθησης της Hive, βρήκε περισσότερα από 1.000 κλειδιά κρυπτογράφησης που συνδέονταν με προηγούμενα θύματα της ομάδας και ο διευθυντής του FBI Κρίστοφερ Ρέι σημείωσε ότι μόνο το 20% των θυμάτων που εντοπίστηκαν απευθύνθηκαν στο FBI για βοήθεια. Πολλά θύματα επιθέσεων ransomware αποφεύγουν να επικοινωνήσουν με το FBI, φοβούμενα τις επιπτώσεις από τους hacker και τον έλεγχο στους κλάδους τους επειδή δεν έχουν πάρει τα κατάλληλα μέτρα προστασίας.

Εφόσον όμως οι hackers πληρώνονται, αυτό δίνει στη βιομηχανία τη δυνατότητα να συνεχίσουν να το κάνουν. Το FBI ελπίζει ότι μπορεί να πείσει περισσότερα θύματα να εμφανιστούν και να συνεργαστούν μαζί τους αντί να υποκύψουν στις απαιτήσεις. «Όταν ένα θύμα βγαίνει μπροστά, μπορεί να κάνει όλη τη διαφορά στην ανάκτηση κλεμμένων κεφαλαίων ή στην απόκτηση κλειδιών αποκρυπτογράφησης», δήλωσε η Μονακό.

• Hacking