Как стать автором
Обновить
66.36

Это «ж-ж-ж» неспроста: почему вымогателей из группы Hive рано списывать со счетов

Время на прочтение3 мин
Количество просмотров1K

26 января стало известно о захвате инфраструктуры и ключей дешифровки вымогателей из группы Hive (англ. "Улей") — на их ресурсе сейчас висит заглушка на английском и русском языках с надписью "Сайт конфискован ФБР".

"Это довольно важный шаг, однако без ареста участников Hive и аффилированных с ними лиц — это лишь половина победы, — считает Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB. — Есть многочисленные примеры, когда после активных действий правоохранительных органов оставшиеся на свободе организаторы преступного бизнеса просто проводили “ребрендинг” — переименовали группу, создавали для нее новую инфраструктуру и работали дальше. Так было, например, с REvil, DarkSide и Conti".

Команда Group-IB следит за деятельностью Hive с момента появления банды в июне 2021 года — мы первыми провели подробное исследование их партнерской программы и изучили “админку” изнутри. Hive недаром называют одной из наиболее агрессивных “партнерок”, члены которые трудились как пчелы и были абсолютно “всеядны”. Например, атаковали больницы, которые другие группы вымогателей обходили стороной.

Именно Hive поставила рекорд 2021 года до сумме требуемого выкупа — $240 млн. от концерна MediaMarkt, крупнейшего европейского ритейлера электроники. Согласно свежему аналитическому отчету «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023», в период с июля 2021 года по июнь 2022 года Hive была третьей по активности бандой вымогателей в мире, разместив информацию о 146 жертвах на своем специальном DLS-сайте, где злоумышленники выкладывают данные атакованных компаний.

Реальное количество пострадавших от Hive намного больше — ошибка API на DLS-ресурсе вымогателей позволила команде Group-IB установить, что в среднем только 10-15% компаний, подвергшихся атакам, попадают в DLS — остальные предпочитают сразу платить.

Причины успеха Hive не только в том, что группа "выкручивала руки" жертвам, публикуя информацию на DLS, но и активно работала по модели партнерской программы Ransomware-as-a-Service. Суть RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и шифрования. И хотя с технической точки зрения программа-вымогатель и имела свои недостатки, однако партнеры шли в Hive из-за удобной инфраструктуры. Так, после раскола в группе Conti, многие из ее участники перешли именно в Hive.

Еще одной отличительной особенностью Hive являлся то, что группа оперативно проводила "работу над ошибками". Например, после того как корейские исследователи опубликовали научную статью о принципах дешифровки, а криминалисты Group-IB написали декриптор (дешифратор) для четвертой версии вымогателя Hive для Windows (и благодаря этому, кстати, смогли расшифровать сеть медицинской организации в Азиатско-Тихоокеанском регионе), а потом еще помогли разработать дешифратор для пятой версии, Hive внимательно следила за этим процессом и оперативно выпускала новые версии вымогателя.

Подводя итог, можем спрогнозировать следующее развитие событий. Учитывая амбиции Hive и общемировой рост угроз со стороны программ-вымогателей, команду вымогателя рано списывать со счетов — пока оставшиеся на свободе разработчики Hive будут создавать новую инфраструктуру, их партнеры временно перераспределяться между другими RaaS.

Осталось только добавить, что миссия Group-IB заключается в борьбе с киберпреступностью. Мы расследуем киберинциденты более 19 лет и хорошо знаем: атакующего можно остановить двумя способами — технологически, когда он не сможет совершить атаку, благодаря средствам защиты, и физически — когда он будет арестован и передан правосудию.

Теги:
Хабы:
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Другие новости

Информация

Сайт
www.facct.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия

Истории