Hive勒索被摧毁主动反制or合法渗透? 销声匿迹or卷土重来?

当地时间1月26日，美国和欧洲执法当局公布了针对Hive勒索软件的重大执法行动的成果。美国司法部和联邦调查局的联合发布会指出，来自世界各地的执法机构通力合作（共有13个国家/地区的执法机构参与），关闭了Hive的泄露网站和服务器。此次打击Hive的关键是FBI特工于2022年7月侵入Hive的关键基础设施并隐蔽地潜伏了半年之久，并使FBI特工能够识别目标并获得解密密钥，从而使受害者无需支付赎金即可恢复加密文件。欧洲刑警组织（EuroPol）在26日的声明中称，EuroPol支持德国、荷兰和美国当局拆除多产的 HIVE勒索软件的基础设施。此次国际联合行动共涉及13个国家的执法机构。执法部门确定了解密密钥并与许多受害者分享，帮助受害者重新获得对数据的访问权，而无需向网络犯罪分子支付费用。后续执法当局还将继续调查Hive，以查明参与该行动的网络犯罪分子，包括开发人员、管理员和附属机构。同时美国国务院宣布悬赏高达1000 万美元，以征集有关HIve和其他攻击者的相关信息。毫无疑问，本次行动是基于国际合作、利用合法渗透打击勒索软件攻击的一次重大胜利，对勒索软件生态也将产生重要影响。此后Hive勒索软件及其幕后的运营者将会如何发展，行业专家表达了并不乐观的见解。

FBI局长讲话中透露的关键词

FBI局长克里斯托弗·雷 (Christopher Wray) 在26日的讲话中，透露联合执法行动的大概情况，主要是内外合作、主动反制、前出支援、继续深挖等，其中的秘密渗透（主动反制）Hive的基础设施是此次行动中的一个亮点，也是一个关键动作。

1、内外合作

这里不仅有FBI系统内部的合作，FBI与其它情报部门的合作，还有FBI与欧洲其它各国警方的合作。对Hive勒索的打击行动由FBI坦帕外地办事处领导，FBI总部的网络团队和美国其他外地办事处人员以及驻扎在世界各地的FBI人员的协助；同时FBI还与其外国执法伙伴合作，尤其利益于德国罗伊特林根警察总部、德国联邦刑事警察局、荷兰国家高科技犯罪部门和欧洲刑警组织的出色工作。FBI打击勒索软件的策略就是利用其执法部门和情报部门来追查整个网络犯罪生态系统——参与者、他们的财务、他们的通信、他们的恶意软件和他们的基础设施。对Hive勒索软件基础设施的破坏突显了执法机构之间历史性的国际合作。

This operation was led by our Tampa Field Office, assisted by our Cyber Division team at FBI Headquarters and other field office personnel across the country, but also by FBI personnel stationed around the world, who led the collaboration with our foreign law enforcement partners—often shoulder to shoulder, scrutinizing the same data—that was essential to today’s success. Especially the fine work of the German Reutlingen Police Headquarters, the German Federal Criminal Police, the Netherlands National High Tech Crime Unit, and Europol. This coordinated disruption of Hive’s networks illustrates the power of collaboration between the FBI and our international partners.

2、主动反制

2022年7月，FBI坦帕外地办事处就获得了对Hive控制面板的秘密、持久访问权。从那时起，在过去的七个月里，FBI已经能够利用该访问权限来帮助受害者，同时让Hive处于黑暗之中，使用该访问权限来识别Hive的受害者并为全球1,300多名受害者提供密钥来解密他们受感染的网络，阻止了至少1.3亿美元的赎金支付。

FBI的特工能进入Hive的基础设施并非偶然。在其网络项目中，FBI利用其技术专长、处理人力资源的经验以及其他调查谍报技术相结合，以寻找用来保护自己的技术指标。注意，渗透进HIVE的基础设施不是偶然，是有意而为之，采用了各种可行的技术手段。关键是隐蔽控制长达7个月之久，而未被Hive运营者察觉。这说明，不是Hive不警觉不利害，而是FBI也有足够的真功夫！！

Last July, FBI Tampa gained clandestine, persistent access to Hive’s control panel. Since then, for the past seven months, we’ve been able to exploit that access to help victims while keeping Hive in the dark, using that access to identify Hive’s victims and to offer over 1,300 victims around the world keys to decrypt their infected networks, preventing at least $130 million in ransom payments, cutting off the gas that was fueling Hive’s fire.

Our access to Hive’s infrastructure was no accident. Across our cyber program, we combine our technical expertise, our experience handling human sources, and our other investigative tradecraft to seek out technical indicators victims can use to protect themselves.

3、前出支援

不仅共享解密密钥，还到现场指导，甚至在攻击者初始突破前发现蛛丝马迹后，及时阻止。或者在攻击者部署勒索软件之前将其清除。可见，FBI的工作是相当细致到位有力的。

Here, that focus on obtaining useful technical indicators led us to Hive’s decryption keys—which we turned around and provided to those in need, like when our investigative team identified the initial stages of an attack against a university, proactively notified the school, and gave the institution the technical information it needed to kick Hive off of its network before ransomware was deployed.

Or when an FBI case agent and computer scientist rushed to provide hands-on support to a local specialty clinic and helped the doctor, who also managed the clinic’s IT security, identify his office’s vulnerabilities and deploy his decryption key—because no victim is too small.

We’ve also shared keys with many victims overseas through our foreign-based Legal Attaché offices, like when we gave a foreign hospital a decryptor they used to get their systems back up before negotiations even began, possibly saving lives.

Now, as we move to the next phase of the investigation, we’ve worked with our European partners to seize the infrastructure used by these criminal actors—crippling Hive’s ability to sting again.

4、穷追猛打

下一步还要继续搜集证据，对Hive勒索组织的开发人员、管理人员、附属机构进行画像，直到抓人、扣押资产和其它行动。不收拾幕后的运营者，不将它们绳之以法，这种执法行动其威慑力是远远不够的。

Today’s announcement is only the beginning. We’ll continue gathering evidence, building out our map of Hive developers, administrators, and affiliates, and using that knowledge to drive arrests, seizures, and other operations, whether by the FBI or our partners here and abroad.

While this is, yes, a fight to protect our country, our citizens, and our national security, make no mistake—the fight for cybersecurity spans the globe. But the FBI’s presence and partnerships do, too.

HIVE勒索软件遭关停有多大影响？

《安全周刊》针对此次联合执法行动，采访了网络安全行业的许多专家，大家的见解总结一下，不外乎如下几种。

1、FBI联合执行行动的成果值得称道，但这仅仅是万里长征第一步；值得注意的是，暗网已经发展得多么庞大，以及像Hive这样资源丰富的新网络犯罪集团就会变得多么强大。以GDP衡量，暗网目前是地球上第三大经济体，比日本或德国还大。到2025年，这一数字将超过日德两国的总和。联邦调查局关闭Hive服务器分享解密密钥的工作是朝着对抗勒索攻击方向迈出的一大步，但这只是在阻止暗网资源的网络犯罪的遥远马拉松上迈出的一小步。

2、勒索软件组织华丽转向；据曼迪昂特威胁情报团队观测，使用Hive勒索软件最多的组织是UNC2727，它主要针对医疗行业开展勒索活动，但Hive勒索软件并不是它的惟一工具，它还在使用Conti和MountLocker。这表明勒索组织已在勒索生态中建议了广泛的联系，可以轻松地使用另一个软件或品牌继续运营。Hive勒索组织在全球 80多个国家/地区有1,500多名受害者，包括医院、学区、金融公司和关键基础设施。

3、勒索攻击者也可能另谋生计；本次对Hive勒索组织的打击行动可能对其产生了重大影响，而且面临来自执法机构的压力越来越大。但勒索的根本驱动力是加密货币，因此勒索软件攻击者转向其他类型的网络攻击，例如BEC。BEC是当今对财务影响最大的网络威胁，他们可以简单地重新配置恶意软件以建立对员工邮箱的访问权限，而不是使用他们的初始访问恶意软件在公司网络上立足，这可能会导致更大规模和更复杂的电子邮件击。

4、勒索攻击者将会前仆后继；FBI及欧洲刑警组织本次从内部破坏Hive勒索软件组织的运作而采取的行动，这在打击勒索软件攻击的行动历史是前所未有的，勒索软件当今全球组织组织面临的最大威胁。虽然这可能标志着Hive勒索软件组织一蹶不振甚至终结，但其成员和附属机构仍然是一个威胁。通常负责进行大部分此类攻击的附属机构可以轻松地加盟仍在运营的其它组织，勒索软件组织成员也可以将他们的知识带给这些团体，也就是说其他勒索组织将崛起以填补留下的空白。过往的历史表明，由于执法行动、内部纷争或地缘政治原因解散的勒索软件团伙有时会以不同的名称重新组合。由于打击勒索组织背后的人员是一项极其困难的任务，即使基础设施遭破坏、网站被查封，勒索软件活动只是会暂时减少，因为各勒索组织争先恐后地加强防御并收紧内部圈子，但这不会对全球勒索软件攻击产生全面、显着的、伤筋动骨的影响。

5、本次打击HIve勒索的成效/威慑仍有其局限性；这一行动向所有网络犯罪组织发出了一个非常明确的信号，只要在美国法律和司法系统的范围内，执法机构将继续努力，务必追究犯罪分子的责任。正如FBI局长Wary警告的，无论网络犯罪分子身在何处，也无论它们多么努力地扭曲和转向以掩盖踪迹——它们的基础设施、犯罪同伙、金钱和自由都处于危险之中，并且一定会有后果。但是对于在美国司法系统范围之外运作的网络犯罪组织，风险/回报仍对犯罪者有利，这种方法的效力有限。也可能，这种更积极主动的打击网络犯罪行动的方法应该会引起一些勒索组织的暂停和重新计算。

Hive勒索软件攻击早已声名在外，属于排名前五的勒索攻击。根据美国网络安全和基础设施安全局 (CISA) 的说法，Hive分支机构通过多种方法获得了对受害网络的初始访问权限，包括：通过远程桌面协议 (RDP)、虚拟专用网络 (VPN) 和其他方式的单因素登录远程网络连接协议；利用FortiToken漏洞；发送带有恶意附件的钓鱼邮件。有关恶意软件的更多信息，包括组织如何减轻其影响的技术信息，可从CISA获得，请访问https://www.cisa.gov/uscert/ncas/alerts/aa22-321a。

参考资源：

1.https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant

2.https://www.fbi.gov/news/speeches/director-christopher-wrays-remarks-at-press-conference-announcing-the-disruption-of-the-hive-ransomware-group

3.https://www.securityweek.com/industry-reactions-to-hive-ransomware-takedown-feedback-friday/

4.https://venturebeat.com/security/what-the-fbis-hive-takedown-means-for-the-ransomware-economy/

原文来源：网空闲话

“投稿联系方式：010-82992251 [email protected]”