Их же оружием: как ликвидировали хакерскую группировку вымогателей Hive

Роман Рожков Редакция Forbes

В области борьбы с киберпреступностью произошел заметный прорыв. На минувшей неделе власти США отчитались о крупной совместной с Европолом победе над печально известной бандой вымогателей Hive (англ. «улей»), захватив ее ресурсы и разрушив ее цифровую инфраструктуру. Группировку, получившую более $100 млн в качестве выкупа за расшифровку и входящую в топ-3 по активности, некоторые связывают с Россией: ФБР даже поставило заглушку на сайте Hive на русском языке. Почему это событие важно и можно ли считать, что «пчелы» обезврежены?

Правоохранительные органы проникли в систему Hive и захватили ключи для расшифровки атакующего программного обеспечения, заявили в Министерстве юстиции США в четверг, 26 января. На Tor-ресурсах группы, которая считается одной из самых опасных и плодовитых хакерских группировок, атакующих даже больницы и общественную инфраструктуру, появилось сообщение (в том числе на русском языке) о том, что он был «конфискован Федеральным бюро расследований в ходе проведения согласованных правоприменительных действий по борьбе с вредоносной программой-вымогателем Hive».

Как рассказали в ходе брифинга высокопоставленные чиновники Минюста США, в многомесячной операции, которая началась во Флориде в прошлом году, агенты ФБР получили доступ к сети Hive и предоставили жертвам ключи дешифрования, необходимые для восстановления контроля над их системами, заблокировав около $130 млн в виде требуемых выкупов. «Следственные действия привели нас к двум внутренним компьютерным серверам в Лос-Анджелесе, которые использовались Hive для хранения критически важной информации сети, — рассказал генпрокурор Меррик Гарланд. — В соответствии с постановлением суда мы изъяли эти серверы. Мы также получили разрешение суда лишить контроля сайты Hive в даркнете и сделать его услуги недоступными».

Примечательно, что после пресс-конференции Госдепартамент США в одном из своих аккаунтов в Twitter (заблокирован в России) предложил награду в $10 млн тому, кто может связать Hive с каким-либо из зарубежных правительств.

Причины успеха Hive были в том, что группа работала по модели партнерской программы Ransomware-as-a-Service (RaaS, разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей), объясняет специалист по проактивному поиску киберугроз Group-IB Андрей Жданов. Это затрудняло идентификацию и расследование деятельности хакеров. «И хотя с технической точки зрения программа-вымогатель и имела свои недостатки, однако партнеры шли в Hive из-за удобной инфраструктуры. Так, после раскола в группе Conti многие ее участники пришли именно в Hive», — замечает эксперт.

Материал по теме

Именно Hive поставила рекорд 2021 года по сумме требуемого выкупа — $240 млн от концерна MediaMarkt, крупнейшего европейского ретейлера электроники. Согласно аналитическому отчету «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023» от Group-IB, с июля 2021 года по июнь 2022 года Hive стала третьей по активности бандой вымогателей в мире после Lockbit и Conti, разместив информацию о 146 жертвах на своем специальном DLS-сайте, где злоумышленники выкладывают данные атакованных жертв.

Hive называют одной из наиболее агрессивных «партнерок», члены которой трудились, как пчелы, и были абсолютно «всеядны». Например, атаковали больницы и школы, которые другие группы вымогателей обходили стороной. К примеру, в 2021 году атака Hive нанесла ущерб американской Memorial Health System, вынудив ее отменить операции, а персонал клиники — работать по бумажным картам.

Материал по теме

При этом говорить о том, что Hive «связана с Россией», некорректно — уточняют эксперты. «Это русскоязычные или русскоговорящие [хакеры], — считают в Group-IB. — Вывод об этом можно сделать исходя из того, что группа не атакует Россию и СНГ, — в основном США, Европу, Азию. Кроме того, были найдены объявления о найме сотрудников на форумах на русском языке».

Впрочем, хотя захват инфраструктуры и ключей дешифровки вымогателей из Hive — довольно важный шаг, без ареста участников Hive и аффилированных с ними лиц это лишь полдела. Есть многочисленные примеры, когда после активных действий правоохранительных органов оставшиеся на свободе организаторы преступного бизнеса просто проводили «ребрендинг» — переименовали группу, создавали для нее новую инфраструктуру, и работали дальше, указывает Андрей Жданов. Так было, например, с REvil, DarkSide и Conti. «Учитывая амбиции Hive и общемировой рост угроз со стороны программ-вымогателей, команду вымогателя рано списывать со счетов. Пока оставшиеся на свободе разработчики Hive будут создавать новую инфраструктуру, их партнеры временно перераспределятся между другими RaaS», — прогнозирует Жданов.

Между 2015 и 2021 годом специалисты фиксировали устойчивый рост инцидентов с использованием вирусов-вымогателей, поскольку такие атаки хорошо монетизируются, объяснял Forbes руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев: «Злоумышленники шифруют данные жертвы и требуют выкуп за предоставление ключа для дешифрования. Этот «рынок» рос почти в два раза ежегодно». По итогам прошлого года программы-вымогатели остались главной киберугрозой для бизнеса, говорили ранее Forbes эксперты Group-IB. «Многие из группировок шифровальщиков поменяли названия, а их структура все больше напоминает легальные IT-стартапы с корпоративной иерархией, системой найма, обучения, мотивации и отпусками, — рассказали в компании. — Прошлый год окончательно поставил точку в вопросе: атакуют ли шифровальщики российские компании. Количество атак с целью выкупа за расшифровку данных на бизнес в России в 2022 году увеличилось в три раза, а рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей».