2022年1月26日,联邦调查局、司法部和国际执法伙伴扔下了一颗重磅炸弹公告:他们已经拆除了一个最多产的勒索软件组织的基础设施。蜂巢勒索软件一直被认为是一个非常活跃的组织,负责许多勒索软件攻击,包括针对医院的攻击。但蜂巢网络的全部范围是未知的直到司法部揭开了宣誓书抢夺Hive使用的服务器。也许美国司法部披露的最大爆炸性消息是,数月来,FBI一直可以访问Hive的计算机网络,并能够滑动解密密钥,并将其传递给勒索软件攻击的受害者。副司法部长丽莎·莫纳科称这是“21圣并解释说联邦调查局已经"破解黑客”。
我们从宣誓书中学到了什么
- 蜂巢勒索软件在全球有超过1500名受害者。受害者名单包括医院、律师事务所、金融公司和学区。
- Hive勒索软件采用ransomware as a Service(“Raas”)模型。这是当今最常见的勒索软件模型之一,并允许勒索软件组织进行有组织的犯罪。中心组(Hive)创建勒索软件菌株,并使用易于使用的界面分发它。然后,附属机构使用勒索软件攻击受害者,通常使用双重勒索模式(数据泄露,然后加密),在部署勒索软件后要求赎金。分支机构与中心集团的运营者平分赎金。
- 蜂巢勒索软件有250个分支。
- 自2022年7月以来,FBI获得了336名蜂巢勒索病毒受害者的解密密钥。据美国联邦调查局称,这为受害者节省了约1.3亿美元的赎金。
- Hive使用了一个复杂的服务器网络,包括托管在美国的服务器,与他们的分支机构通信,存储受害者信息,与受害者通信,并与暗网的其他用户通信(通过一个用来识别没有付款的受害者的羞辱网站)。
从蜂巢拿下的三个要点
- 联邦调查局可以为网络犯罪的受害者提供大量帮助。我们仍然听到一些公司在遭受网络攻击时不敢打电话给FBI,因为他们既担心信息的保密性,又担心成为执法部门调查的目标。向FBI或其他执法部门报告勒索软件攻击通常是不需要的(目前)。但这件事证明了FBI可以提供的价值,包括提供一个有效的解密密钥。联邦调查局还可以分享有关威胁行为者的宝贵情报,如他们的作案手法和可能的归因对象,这些情报可以帮助公司决定是否与威胁行为者接触,并作为最后的手段,向他们支付报酬。
- 希望就在眼前。联邦调查局摧毁一个勒索软件组织的基础设施并不会神奇地阻止勒索软件攻击。这关系到太多的钱。但这次行动显示了执法部门破坏这些行动的力量。这可能会迫使运营商采取更大的措施来确保运营安全,或改变他们的“业务”设置,这可能会给勒索组织的工作流程带来更大的负担,减慢他们的速度。
- 勒索软件组织资源丰富。尽管这次打击行动有积极的因素,但FBI的证词显示了勒索软件行动的复杂性和广度——1500名受害者,250个分支机构——对于一个勒索软件组织来说,这些都是巨大的数字。再加上他们复杂的网络,他们赚这么多钱的原因就很清楚了。有报道称,今年勒索软件攻击的速度较慢,这可能是因为黑客们专注于乌克兰战争,也可能是因为黑客们花了一段时间来享受数亿美元的勒索付款。但2022年秋季和2023年初表明,黑客又回来了。
订阅数据博客,请点击这里.
