Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Uderzyli w Hive – jedną z bardziej aktywnych grup ransomware. Zwinięta infrastruktura, odzyskane 1300 kluczy deszyfrujących (!)

26 stycznia 2023, 20:49 | W biegu | komentarzy 7

Całość to pokłosie wspólnej operacji Europolu oraz FBI. Grupa Hive działała w dość standardowym modelu: ekipa atakująca / wymuszająca okup (inkasowała ona 80% okupu) oraz deweloperzy głównego „produktu” (20%).

Historycznie, czasem udawało się odszyfrować pliki zainfekowane Hive (patrz: Przyspieszony kurs łamania kryptografii Hive ransomware ;-)), ale teraz nie ma to już dużego znaczenia, bowiem:

the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims.

Wszystko wskazuje na to, że do przejęcia infrastruktury Hive użyto zdolności cyber-ofensywnych. Reuters donosi:

Using lawful means, we hacked the hackersMonaco told reporters [Lisa Monaco – zastępca prokuratora generalnego USA]

Przy okazji możecie zobaczyć na listę części domniemanych ofiar Hive – o tutaj.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mirek

    Co znaczy ten standardowy model? Myślałem że to zawsze atakujący ogarniają development i sami tworzą te narzędzia i atakują. A jak działa taki podział jak w artykule? Developerzy sprzedają swoje narzędzie grupom które chcą kogoś zaatakować? Devy nie koniecznie znają się z atakującymi?

    Odpowiedz
    • pipat

      standardowy model to ransomware as a service, istnieją też usługi initial access as a service itp, plankton chainuje te usługi i zgarnia swoją część. Jak w korporacyjnej chmurze :)

      Odpowiedz
    • Michał

      RaaS ransomware as a service

      Odpowiedz
  2. Shaughnessy

    Dobra wiadomość. I przypomina, że mimo wszystko warto trzymać zaszyfrowane dane chociaż przez kilka lat. Nigdy nie wiadomo kiedy taka grupa zaliczy wpadkę i będzie można odzyskać dane za friko.

    Mam nadzieję, że będzie też z tego jakiś raport

    Odpowiedz
    • asa

      Dokładnie tak, sam trzymam zaszyfrowane dane znajomej, która padła ofiarą faktury play. Swoją drogą jest jakaś strona, która pomoże zweryfikować czy pojawiła się możliwość odszyfrowania danych? O ile pamiętam to coś pokroju cryptolocker było, a działo się to z 6-8 lat temu jak dobrze kojarzę jak nie wcześniej.

      Odpowiedz

Odpowiedz