▪︎ مجلس نيوز
أعلنت وزارة العدل هذا الأسبوع أن عملاء مكتب التحقيقات الفدرالي تعطلت بنجاح Hive ، مجموعة سيئة السمعة من برامج الفدية ، ومنعت 130 مليون دولار من حملات الفدية التي لم تعد بحاجة إلى التفكير في الدفع. بينما تدعي أن مجموعة Hive كانت مسؤولة عن استهداف أكثر من 1500 ضحية في أكثر من 80 دولة حول العالم ، تكشف الإدارة الآن أنها اخترقت شبكة المجموعة لعدة أشهر قبل العمل مع المسؤولين الألمان والهولنديين لإغلاق خوادم ومواقع Hive هذا الأسبوع.
“ببساطة ، وباستخدام وسائل مشروعة ، اخترقنا المتسللين” ، نائبة المدعي العام ليزا موناكو خلال مؤتمر صحفي.
يدعي مكتب التحقيقات الفيدرالي أنه من خلال اختراق خوادم Hive سرًا ، تمكن من انتزاع أكثر من 300 مفتاح فك تشفير وتمريرها مرة أخرى إلى الضحايا الذين أغلقت المجموعة بياناتهم. قال المدعي العام الأمريكي ميريك جارلاند في بيانه أنه في الأشهر القليلة الماضية ، استخدم مكتب التحقيقات الفيدرالي مفاتيح فك التشفير هذه لإلغاء تأمين منطقة مدرسة في تكساس تواجه فدية بقيمة 5 ملايين دولار ، ومستشفى في لويزيانا طُلب منه 3 ملايين دولار ، وخدمات طعام لم يذكر اسمه. الشركة التي واجهت فدية قدرها 10 ملايين دولار.
قالت موناكو: “قلبنا الطاولة على Hive وضربنا نموذج أعمالهم”. اعتبر مكتب التحقيقات الفدرالي Hive أحد أكبر خمسة تهديدات لبرامج الفدية. وفقًا لوزارة العدل ، تلقى Hive أكثر من 100 مليون دولار من مدفوعات الفدية من ضحاياه منذ يونيو 2021.
نموذج Hive “ransomware-as-a-service (RaaS)” هو إنشاء وبيع برامج الفدية ، ثم تجنيد “المنتسبين” لإخراجها ونشرها ، مع قيام مسؤولي Hive بخصم 20 بالمائة من أي عائدات ونشر البيانات المسروقة على موقع “HiveLeaks” إذا رفض شخص ما الدفع. تستخدم الشركات التابعة ، وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ، طرقًا مثل التصيد الاحتيالي عبر البريد الإلكتروني ، واستغلال ثغرات مصادقة FortiToken ، والوصول إلى شبكات VPN الخاصة بالشركة وأجهزة سطح المكتب البعيدة (باستخدام RDP) المحمية فقط من خلال عمليات تسجيل الدخول أحادية العامل.
تنبيه CISA من نوفمبر يشرح كيف تستهدف الهجمات الشركات والمؤسسات التي تدير خوادم Microsoft Exchange الخاصة بها. يستفيد الكود المقدم إلى الشركات التابعة لها من الثغرات المعروفة مثل CVE-2021-31207، والتي ، على الرغم من تصحيحها منذ عام 2021 ، تظل غالبًا عرضة للخطر إذا لم يتم تطبيق عوامل التخفيف المناسبة.
بمجرد دخولهم ، فإن نمطهم هو استخدام بروتوكولات إدارة الشبكة الخاصة بالمؤسسة لإغلاق أي برنامج أمان ، وحذف السجلات ، وتشفير البيانات ، وبالطبع ، ترك ملاحظة فدية HOW_TO_DECRYPT.txt في الدلائل المشفرة التي تربط الضحايا إلى لوحة الدردشة الحية للتفاوض بشأن طلبات الفدية.
“عندما تتقدم الضحية إلى الأمام ، يمكن أن تحدث فرقًا كبيرًا”
Hive هي أكبر مجموعة لبرمجيات الفدية تم إزالتها من قبل الفيدراليين منذ REvil في عام 2021 – والتي كانت مسؤولة عن تسريب مخططات MacBook من أحد موردي Apple بالإضافة إلى أكبر مورد للحوم في العالم. وفي وقت سابق من ذلك العام ، نجحت مجموعات مثل DarkSide في دفع تعويضات بقيمة 4.4 مليون دولار بعد اختراق أنظمة Colonial Pipeline في حادثة تسببت في ارتفاع أسعار الغاز الوطنية. ومع ذلك ، فإن أغلى هجوم من برامج الفدية يتم الإعلان عنه هو شركة التأمين CNA Financial ، والتي انتهى بها الأمر بدفع 40 مليون دولار للقراصنة.
وجد مكتب التحقيقات الفيدرالي ، خلال مراقبته لـ Hive ، أكثر من 1000 مفتاح تشفير مرتبطة بضحايا سابقين للمجموعة ، وأشار مدير مكتب التحقيقات الفيدرالي كريستوفر وراي إلى أن 20 في المائة فقط من الضحايا المكتشفة تواصلوا مع مكتب التحقيقات الفيدرالي للحصول على المساعدة. يمتنع العديد من ضحايا هجمات برامج الفدية عن الاتصال بمكتب التحقيقات الفيدرالية خوفًا من تداعيات المتسللين والتدقيق في صناعاتهم لفشلهم في تأمين أنفسهم.
نظرًا لأن المتسللين يحصلون على رواتبهم ، فإن ذلك يمنح صناعة برامج الفدية وقودًا لمواصلة ذلك. يأمل مكتب التحقيقات الفيدرالي أن يتمكن من إقناع المزيد من الضحايا بالتقدم والعمل معهم بدلاً من الانصياع للمطالب. وقالت موناكو: “عندما تتقدم الضحية إلى الأمام ، يمكن أن تحدث فرقًا كبيرًا في استرداد الأموال المسروقة أو الحصول على مفاتيح فك التشفير”.