Инфрастуктура кибервымогателей Hive ликвидирована правооханительными органами. Но не рано ли списывать эту группировку со счетов?

Проведенная операция не только позволила властям перехватить контроль над всеми Tor-сайтами группировки, но также помогла им заранее узнавать об атаках хакеров, предупреждать жертв об этих нападениях, а ещё получить и раздать пострадавшим ключи для дешифрования данных.

«В конце июля 2022 года ФБР проникло в компьютерные сети Hive, перехватило ключи дешифрования и предоставило их жертвам по всему миру, избавив их от необходимости платить выкупы в размере 130 000 000 долларов, — сообщает Минюст. — С момента проникновения в сеть Hive в июле 2022 года ФБР предоставило более 300 ключей дешифрования жертвам Hive, подвергшимся атакам. Кроме того, ФБР раздало более 1000 дополнительных ключей дешифрования предыдущим жертвам группировки».

Официальные лица заявили, что расследование продолжается, и правоохранители уже выявляют администраторов Hive, а также аффилированных лиц, которые заражают цели и ведут переговоры с жертвами.

Однако не все эксперты разделяют оптимизм представителей правоохранительных органов. Дело в том, что до сих пор отсутствуют данные о географическом базировании преступной группы, равно как и хоть какая-то контактная информация.

«Это довольно важный шаг, однако без ареста участников Hive и аффилированных с ними лиц — это лишь половина победы, — считает Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB. — Есть многочисленные примеры, когда после активных действий правоохранительных органов оставшиеся на свободе организаторы преступного бизнеса просто проводили “ребрендинг” — переименовали группу, создавали для нее новую инфраструктуру и работали дальше. Так было, например, с REvil, DarkSide и Conti».

Почему же эксперты не верят в скорую смерть «Улья»?

Именно Hive поставила рекорд 2021 года до сумме требуемого выкупа — $240 млн. от концерна MediaMarkt, а в период с июля 2021 года по июнь 2022 года Hive была третьей по активности бандой вымогателей в мире, разместив информацию о 146 жертвах на своем специальном DLS-сайте, где злоумышленники выкладывают данные атакованных компаний. Реальное количество пострадавших от Hive намного больше — можно только предполагать, сколько компаний молча заплатили вымогателям, чтобы избежать огласки.

Причины успеха Hive не только в том, что группа «выкручивала руки» жертвам, публикуя информацию на DLS, но и в активной работе по модели партнерской программы Ransomware-as-a-Service. Суть RaaS в том, что разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и шифрования. И хотя с технической точки зрения программа-вымогатель и имела свои недостатки, однако партнеры шли в Hive из-за удобной инфраструктуры. Так, после раскола в группе Conti, многие из ее участники перешли именно в Hive.

Еще одной отличительной особенностью Hive является то, что каждый раз, когда исследователи безопасности  создавали декриптор (дешифратор) для вымогателя Hive для Windows, Hive внимательно следила за этим процессом и быстро выпускала новые версии своего ПО.

Учитывая амбиции Hive и общемировой рост угроз со стороны программ-вымогателей, эту команду, по мнению экспертов, рано списывать со счетов — партнеры Hive, скорее всего, просто временно перераспределятся между другими RaaS. Выжидая, пока оставшиеся на свободе разработчики Hive будут создавать новую инфраструктуру для своей противозаконной деятельности.

С заботой о вашей безопасности, команда Origin Security