Как спецагенты ФБР внедрились в группировку Hive и ликвидировали её изнутри

Международный киберпреступный синдикат Hive прекратил свое существование в январе после того, как ФБР захватило IT-инфраструктуру группировки.

По данным Министерства юстиции США (DoJ), агенты ФБР внедрились в банду в июле 2022 года и предоставили жертвам более 300 ключей дешифратора, избавив их от необходимости платить $130 млн. в качестве выкупа. Это значит, что за последние 6 месяцев власти знали о большинстве жертв Hive, и синдикат, вероятно, столкнулся с резким падением доходов от выкупа. Однако, киберпреступники не догадывались, что у них появились инсайдеры.

Как агенты ФБР проникли в Hive?

Как именно проводилась операция – секретная информация, но бывший спецагент ФБР Даррен Мотт, специализирующийся на киберпреступности, считает, что у ФБР был агент под прикрытием, либо, что более вероятно, Бюро завербовало кого-то внутри Hive. Одним из явных признаков инсайдера является незащищенный дешифратор.

Бывший советник ФБР Крис Пирсон сказал, что операция могла бы также объединить два подхода. Например, власти могли завербовать инсайдера, чтобы тот пригласил «своего» человека присоединиться к команде.

Для захвата Hive можно было использовать другой подход: хакеры ФБР проникли в системы Hive без внутренней помощи. Оказавшись внутри, федералы стали отслеживать действия киберпреступников в сети. «Фактически они взламывают среду, сидят наблюдают и накапливают информацию об операции – точно так же, как это делают киберпреступники, когда атакуют компанию», - отметил Пирсон.

Почему синдикат Hive не заметил, как оказался на мушке?

ФБР предоставило более 300 ключей дешифрования жертвам Hive, однако, хакеры все равно не заметили такое количество неудачных атак. Это может быть связано с тем, что Hive работает по RaaS -модели (Ransomware-as-a-Service) – у синдиката было так много аффилированных лиц, что он не следил за жертвами.

ФБР также могло узнать, какие точки входа использовал Hive, поделиться информацией с целевыми жертвами и позволить им усилить защиту на начальных этапах атаки. Киберпреступники могли бы вовсе ничего не заподозрить, если бы жертвы, которые решили сотрудничать с правоохранительными органами, не заявили бы публично, что подверглись нападению.

По словам Пирсона, также существует вероятность того, что Hive просто игнорировал показатели соотношения взломов и оплаченных выкупов. Это может быть связано с проблемами с ПО, отсутствием сбора данных или отсутствием расшифровки файлов.

Почему ФБР ждало 6 месяцев?

Рэнди Паргман, бывший член Кибероперативной группы ФБР, считает, что чем дольше власти остаются внутри, тем больше у них шансов уничтожить системы преступников. Если бы они сразу отключили сервер Hive, злоумышленники бы просто восстановили другой сервер и продолжили свою деятельность. Вместо этого правоохранительные органы следили за сервером и незаметно предоставляли жертвам ключи дешифрования.

Возможно, правоохранительные органы незаметно проинформировали всех жертв, до которых смогли добраться, но некоторые компании все равно предпочли заплатить выкуп, чтобы их файлы не были опубликованы хакерами. Все усилия ФБР привели к тому, что синдикат Hive больше не действует, но хакеры могут вскоре разделиться и войти в состав других групп, как это сделали участники Conti после распада группировки.