FBI秘密渗透Hive勒索软件团伙的网络，Hive暗网网站被查封

美国官员周四宣布，联邦调查局（FBI）查封了一个名为Hive的臭名昭著的勒索软件团伙使用的计算机基础设施，其用来发布受害者信息与入侵证据的暗网网站已经被显示为FBI的设置的gif横幅图片。

臭名昭著的Hive勒索软件团伙

自2021年6月以来，Hive勒索软件团伙已向全球各地80多个国家/地区的医院、学校、金融公司和关键基础设施等1500多名受害者勒索数亿美元。FBI将Hive列为5大勒索软件威胁之一——无论是因为它的技术复杂性，还是因为它可能对受害者造成的伤害。

Hive勒索软件攻击已经对世界各地的受害企业的日常运作造成了重大干扰，并影响了对COVID-19新冠疫情的应对。在一个案例中，一家被Hive勒索软件攻击的医院不得不采用传统的模拟方法来治疗现有患者，并且无法在攻击后立即接收新患者。

Hive勒索软件团伙使用勒索软件即服务（RaaS）模式，其中包含管理员（有时称为开发人员）和分支机构。RaaS是一种基于订阅的模式，开发人员或管理员开发勒索软件，并创建一个易于使用的界面来操作它，然后招募分支机构对受害者部署勒索软件。分支机构确定目标并部署这种现成的恶意软件来攻击受害者，然后从每次成功的赎金支付中赚取一定比例。在受害者付款后，分支机构和管理员将赎金分成进行八二分成，即分支机构可以赚取80%，而管理员可以分到20%。

Hive勒索软件团伙的分支机构采用了一种双重勒索的攻击模式。首先，他们渗透了受害者的系统，在加密受害者的系统之前，分支机构将传出或窃取敏感数据。接下来，分支机构部署恶意软件，加密受害者的系统，使其无法使用。最后，该团伙寻求受害者支付赎金，以获得解密受害者系统所需的解密密钥，并承诺不公布被盗数据。Hive勒索软件团伙经常针对受害者系统中最敏感的数据来增加支付压力，Hive通过其部署在暗网里的Hive泄密网站公布了不付款的受害者的数据。

Hive分支机构的目标是关键基础设施和美国一些最重要的行业。

在2021年8月的一个案例中，Hive分支机构在美国中西部一家医院拥有的计算机上部署了勒索软件。当COVID-19新冠疫情在世界各地的社区中激增时，Hive勒索软件攻击使这家医院无法接收任何新患者。医院还被迫依赖患者信息的纸质副本。它只有在支付赎金后才能恢复其数据。

Hive勒索软件团伙在加利福尼亚州中区的最新受害者是在去年12月30日左右被攻击的。它在佛罗里达州中区的最新受害者是在大约15天前被攻击的。在运营的第一年，Hive向受害者勒索了超过1亿美元的赎金，其中许多是医疗保健行业。

联邦调查局渗透了Hive勒索软件团伙的网络

去年夏天，来自坦帕分部的联邦调查局特工在刑事分部计算机犯罪和知识产权科以及佛罗里达州中区检察官的支持下渗透了Hive勒索软件团伙的网络，并开始破坏Hive勒索受害者的企图。

例如，FBI破坏了针对德克萨斯学区计算机系统的Hive勒索软件攻击。该局向学区提供解密密钥，使其免于支付500 万美元的赎金。

同月，FBI阻止了对路易斯安那州一家医院的Hive勒索软件攻击，使受害者免于支付300万美元的赎金。

FBI还成功阻止了对一家食品服务公司的攻击。该局向该公司提供了解密密钥，并使受害者免于支付1000万美元的赎金。

自去年7月以来，FBI向全球300多名受害者提供了援助，帮助阻止了大约1.3亿美元的赎金支付。

联邦调查局局长Christopher Wray在新闻发布会上表示，自7月以来，FBI官员对所谓的Hive勒索软件组织的计算机网络进行了反击，拥有了他们的最高的访问权限，盗取了他们的解密密钥，并将其传递给受害者，最终避免了超过1.3亿美元的赎金支付。FBI将继续使用任何可能的手段对网络犯罪进行反击。

自2022年7月潜入Hive的网络以来，联邦调查局已经向受到攻击的Hive受害者提供了300多把解密密钥。此外，联邦调查局还向以前的Hive受害者分发了超过1000个额外的解密密钥。最后，该部门今天宣布，在与德国执法部门（德国联邦刑事警察和Reutlingen警察总部-CID Esslingen）和荷兰国家高科技犯罪小组的协调下，它已经控制了Hive用来与其成员沟通的服务器和网站，破坏了Hive攻击和敲诈受害者的能力。

Hive勒索软件团伙的暗网网站被查封

Hive勒索软件团伙使用一个暗网网站来发布受害者信息与入侵证据，该网站的暗网域名是：http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion。

托管Hive暗网网站、并存储其网络关键信息的两台位于洛杉矶的后端服务器已被FBI找到并没收。FBI还获得了法院的授权，可以夺取对Hive暗网站点的控制权并使其服务不可用。

目前，访问Hive的暗网网站，出现一个大的gif图片，跳动着分别用俄文和英文显示如下信息：

联邦调查局查封了这个网站，作为联邦调查局、特勤局和许多欧洲政府机构针对Hive Ransomware的协调执法行动的一部分。

美国司法部副部长Lisa O. Monaco告诉记者：“简单地说，我们使用合法手段攻击了黑客。”

美国正在加紧对勒索软件团伙的打击

周四的公告是司法部一系列打击海外勒索软件团伙的最新举措，这些团伙锁定美国公司的计算机，破坏了他们的运营，并要求数百万美元解锁系统。司法官员没收了数百万美元的勒索软件付款，并敦促公司不要向犯罪分子付款。

在2021年5月，由于疑似俄罗斯网络犯罪分子的勒索软件攻击，向东海岸输送燃料的主要管道运营商Colonial Pipeline关闭了好几天，勒索软件的流行对美国官员来说变得更加紧迫。由于人们囤积燃料，这次中断导致多个州的加油站排起了长队。

尽管勒索软件经济仍然有利可图，但有迹象表明，美国和国际执法部门的严厉打击正在削弱黑客的收入。根据加密货币跟踪公司Chainalysis的数据，2022年勒索软件收入从2021年的7.66亿美元降至约4.57亿美元。

网络安全专业人士对Hive被攻破表示欢迎，但一些人担心，另一个组织将很快填补Hive留下的空白。

谷歌旗下网络安全公司Mandiant的副总裁John Hultquist告诉CNN：“Hive服务的中断不会导致整体勒索软件活动的严重下降，但它对一个通过攻击医疗系统而危及生命的危险组织是一个打击。”

Hultquist说：“不幸的是，处于勒索软件问题核心的犯罪市场确保了Hive的竞争对手将在他们不在的情况下随时提供类似的服务，但他们在允许他们的勒索软件被用于攻击医院之前可能会三思而后行。”

联邦调查局局长Christopher Wray表示，联邦调查局将继续追踪Hive勒索软件背后的人，并试图逮捕他们。目前尚不清楚这些人所在的位置。卫生与公众服务部将Hive描述为“可能说俄语”的群体。

FBI的调查以及Hive网络攻击的技术方法

2022年7月，FBI根据联邦搜查令，首先获取了Hive数据库的访问权限，能够识别所有的受害者并获取对应的解密密钥。FBI将这些解密密钥分发给了世界各地的受害者，收到这些密钥的受害者证实，他们已经感染了Hive勒索软件，并且他们能够使用这些解密密钥解锁他们的文件。

2023年1月11日，美国调查人员获得了位于加州洛杉矶的两个服务器和一个VPS的镜像。同时荷兰警方也获取了两台荷兰服务器的同步备份镜像。服务器上均有Hive的三个暗网网站的代码数据和泄漏站点数据的副本。

此外，据美国网络安全和基础设施安全局（CISA）称，Hive勒索软件团伙的分支机构通过多种方法获得了对受害者网络的初始访问权，包括：通过远程桌面协议（RDP）、虚拟专用网络（VPN）和其他远程网络连接协议的单因素登录；利用FortiToken漏洞；以及发送带有恶意附件的钓鱼邮件。