Hoàng Đức
Writer
Bộ Tư pháp đã công bố trong tuần này rằng các đặc vụ FBI đã phá vỡ thành công một nhóm ransomware khét tiếng có tên là Hive và ngăn chặn chiến dịch đòi tiền chuộc trị giá 130 triệu đô la mà các mục tiêu không còn phải cân nhắc việc trả tiền. Trong khi tuyên bố nhóm Hive chịu trách nhiệm nhắm mục tiêu vào hơn 1.500 nạn nhân tại hơn 80 quốc gia trên thế giới, bộ hiện đã tiết lộ rằng họ đã xâm nhập vào mạng của nhóm trước khi làm việc với các quan chức Đức và Hà Lan trong tuần này để đóng cửa các máy chủ và trang web của Hive vài tháng.
"Nói một cách đơn giản, chúng tôi đã sử dụng các biện pháp hợp pháp để tấn công tin tặc", Phó Tổng chưởng lý Lisa Monaco cho biết tại một cuộc họp báo. FBI tuyên bố rằng bằng cách bí mật xâm nhập vào các máy chủ của Hive, họ đã có thể lặng lẽ lấy hơn 300 khóa giải mã và chuyển chúng lại cho những nạn nhân có dữ liệu bị khóa bởi nhóm này. Trong tuyên bố, Tổng chưởng lý Hoa Kỳ Merrick Garland nói rằng trong vài tháng qua, FBI đã sử dụng các khóa giải mã để mở khóa một khu học chánh ở Texas đang phải trả khoản tiền chuộc 5 triệu đô la và một gia đình đã bị bắt. một công ty dịch vụ thực phẩm giấu tên phải đối mặt với khoản tiền chuộc 10 triệu đô la. Tin tặc tấn công trở lại: Cảnh sát và doanh nghiệp muốn an ninh mạng bị ảnh hưởng nặng nề. Monaco cho biết: “Chúng tôi đã xoay chuyển tình thế của Hive và phá vỡ mô hình kinh doanh của chúng”. Hive từng được FBI coi là một trong năm mối đe dọa ransomware hàng đầu. Hive đã nhận được hơn 100 triệu đô la tiền chuộc từ các nạn nhân kể từ tháng 6 năm 2021, theo Bộ Tư pháp. Mô hình "Ransomware-as-a-Service (RaaS)" của Hive là tạo và bán ransomware, sau đó tuyển dụng "chi nhánh" để triển khai nó, quản trị viên Hive lấy 20% số tiền thu được và nếu bất kỳ ai từ chối trả tiền, họ sẽ bị liệt vào danh sách trên trang web "HiveLeaks" Đăng dữ liệu bị đánh cắp lên mạng. Theo Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA), các phương pháp được các chi nhánh này sử dụng bao gồm lừa đảo qua email, khai thác lỗ hổng xác thực FortiToken và giành quyền truy cập vào VPN công ty và máy tính để bàn từ xa (sử dụng RDP). yếu tố đăng nhập. Một cảnh báo của CISA từ tháng 11 đã giải thích cách các cuộc tấn công này nhắm mục tiêu vào các doanh nghiệp và tổ chức chạy máy chủ Microsoft Exchange của riêng họ. Mã được cung cấp cho các chi nhánh của nó khai thác các lỗ hổng đã biết, chẳng hạn như CVE-2021-31207, mặc dù đã được vá từ năm 2021, nhưng thường vẫn dễ bị tổn thương nếu không áp dụng các biện pháp giảm thiểu thích hợp. Sau khi họ tham gia, mô hình của họ là tận dụng các giao thức quản lý mạng của tổ chức, tắt mọi phần mềm bảo mật, xóa nhật ký, mã hóa dữ liệu và tất nhiên, để lại ghi chú đòi tiền chuộc HOW_TO_DECRYPT.txt trong thư mục được mã hóa, kết nối nạn nhân với một bảng trò chuyện trực tiếp, để thương lượng yêu cầu tiền chuộc.
