Hive

美国悬赏1000万美元,悬赏将Hive勒索软件团伙与外国政府联系起来的信息

暗网动态, 美国暗网动态
美国国务院现已提供高达1000万美元的正义悬赏,以帮助将Hive勒索软件组织(或其他威胁行为者)与外国政府联系起来。 FBI disrupts the Dark Web site of the Hive ransomware group. If you have information that links Hive or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government, send us your tip via our Tor tip line. You could be eligible for a reward. https://t.co/7Bqz0DUSCf pic.twitter.com/n8U3TNC7lh — Rewards for Justice (@RFJ_USA) January 26, 2023 11月,联邦调查局透露,自2021年6月以来,该勒索软件行动已从1500多家公司勒索了约1亿美元。 “如果你有信息将Hive或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来,请通过我们的Tor举报网站向我们发送你的举报。你可能有资格获得奖励,”美国国务院的“正义的奖赏”Twitter帐户说。 “有关任何在外国政府的指示下,违反《计算机欺诈和滥用法》参与针对美国关键基础设施的恶意网络活动的人的身份或位置的信息。” “通过Signal、Telegram、WhatsApp或通过我们基于Tor的举报网站向我们发送您的信息。” 正义奖赏计划 正义奖赏(RFJ)是美国国务院首要的国家安全奖励计划。它是根据1984年打击国际恐怖主义法案、公法 98-533(编纂于 22 USC § 2708)建立的,由外交安全局管理。RFJ的使命是为保护美国人生命和促进美国国家安全目标的信息提供奖励。潜在的举报者可以在RFJ官方网站上了解有关该计划以及如何提交举报的更多信息:www.

FBI秘密渗透Hive勒索软件团伙的网络,Hive暗网网站被查封

暗网动态, 暗网网站, 美国暗网动态
美国官员周四宣布,联邦调查局(FBI)查封了一个名为Hive的臭名昭著的勒索软件团伙使用的计算机基础设施,其用来发布受害者信息与入侵证据的暗网网站已经被显示为FBI的设置的gif横幅图片。 臭名昭著的Hive勒索软件团伙 自2021年6月以来,Hive勒索软件团伙已向全球各地80多个国家/地区的医院、学校、金融公司和关键基础设施等1500多名受害者勒索数亿美元。FBI将Hive列为5大勒索软件威胁之一——无论是因为它的技术复杂性,还是因为它可能对受害者造成的伤害。 Hive勒索软件攻击已经对世界各地的受害企业的日常运作造成了重大干扰,并影响了对COVID-19新冠疫情的应对。在一个案例中,一家被Hive勒索软件攻击的医院不得不采用传统的模拟方法来治疗现有患者,并且无法在攻击后立即接收新患者。 Hive勒索软件团伙使用勒索软件即服务(RaaS)模式,其中包含管理员(有时称为开发人员)和分支机构。RaaS是一种基于订阅的模式,开发人员或管理员开发勒索软件,并创建一个易于使用的界面来操作它,然后招募分支机构对受害者部署勒索软件。分支机构确定目标并部署这种现成的恶意软件来攻击受害者,然后从每次成功的赎金支付中赚取一定比例。在受害者付款后,分支机构和管理员将赎金分成进行八二分成,即分支机构可以赚取80%,而管理员可以分到20%。 Hive勒索软件团伙的分支机构采用了一种双重勒索的攻击模式。首先,他们渗透了受害者的系统,在加密受害者的系统之前,分支机构将传出或窃取敏感数据。接下来,分支机构部署恶意软件,加密受害者的系统,使其无法使用。最后,该团伙寻求受害者支付赎金,以获得解密受害者系统所需的解密密钥,并承诺不公布被盗数据。Hive勒索软件团伙经常针对受害者系统中最敏感的数据来增加支付压力,Hive通过其部署在暗网里的Hive泄密网站公布了不付款的受害者的数据。 Hive分支机构的目标是关键基础设施和美国一些最重要的行业。 在2021年8月的一个案例中,Hive分支机构在美国中西部一家医院拥有的计算机上部署了勒索软件。当COVID-19新冠疫情在世界各地的社区中激增时,Hive勒索软件攻击使这家医院无法接收任何新患者。医院还被迫依赖患者信息的纸质副本。它只有在支付赎金后才能恢复其数据。 Hive勒索软件团伙在加利福尼亚州中区的最新受害者是在去年12月30日左右被攻击的。它在佛罗里达州中区的最新受害者是在大约15天前被攻击的。在运营的第一年,Hive向受害者勒索了超过1亿美元的赎金,其中许多是医疗保健行业。 联邦调查局渗透了Hive勒索软件团伙的网络 去年夏天,来自坦帕分部的联邦调查局特工在刑事分部计算机犯罪和知识产权科以及佛罗里达州中区检察官的支持下渗透了Hive勒索软件团伙的网络,并开始破坏Hive勒索受害者的企图。 例如,FBI破坏了针对德克萨斯学区计算机系统的Hive勒索软件攻击。该局向学区提供解密密钥,使其免于支付500 万美元的赎金。 同月,FBI阻止了对路易斯安那州一家医院的Hive勒索软件攻击,使受害者免于支付300万美元的赎金。 FBI还成功阻止了对一家食品服务公司的攻击。该局向该公司提供了解密密钥,并使受害者免于支付1000万美元的赎金。 自去年7月以来,FBI向全球300多名受害者提供了援助,帮助阻止了大约1.3亿美元的赎金支付。 联邦调查局局长Christopher Wray在新闻发布会上表示,自7月以来,FBI官员对所谓的Hive勒索软件组织的计算机网络进行了反击,拥有了他们的最高的访问权限,盗取了他们的解密密钥,并将其传递给受害者,最终避免了超过1.3亿美元的赎金支付。FBI将继续使用任何可能的手段对网络犯罪进行反击。 自2022年7月潜入Hive的网络以来,联邦调查局已经向受到攻击的Hive受害者提供了300多把解密密钥。此外,联邦调查局还向以前的Hive受害者分发了超过1000个额外的解密密钥。最后,该部门今天宣布,在与德国执法部门(德国联邦刑事警察和Reutlingen警察总部-CID Esslingen)和荷兰国家高科技犯罪小组的协调下,它已经控制了Hive用来与其成员沟通的服务器和网站,破坏了Hive攻击和敲诈受害者的能力。 Hive勒索软件团伙的暗网网站被查封 Hive勒索软件团伙使用一个暗网网站来发布受害者信息与入侵证据,该网站的暗网域名是:http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion。 托管Hive暗网网站、并存储其网络关键信息的两台位于洛杉矶的后端服务器已被FBI找到并没收。FBI还获得了法院的授权,可以夺取对Hive暗网站点的控制权并使其服务不可用。 目前,访问Hive的暗网网站,出现一个大的gif图片,跳动着分别用俄文和英文显示如下信息: 联邦调查局查封了这个网站,作为联邦调查局、特勤局和许多欧洲政府机构针对Hive Ransomware的协调执法行动的一部分。 美国司法部副部长Lisa O. Monaco告诉记者:“简单地说,我们使用合法手段攻击了黑客。” 美国正在加紧对勒索软件团伙的打击 周四的公告是司法部一系列打击海外勒索软件团伙的最新举措,这些团伙锁定美国公司的计算机,破坏了他们的运营,并要求数百万美元解锁系统。司法官员没收了数百万美元的勒索软件付款,并敦促公司不要向犯罪分子付款。 在2021年5月,由于疑似俄罗斯网络犯罪分子的勒索软件攻击,向东海岸输送燃料的主要管道运营商Colonial Pipeline关闭了好几天,勒索软件的流行对美国官员来说变得更加紧迫。由于人们囤积燃料,这次中断导致多个州的加油站排起了长队。 尽管勒索软件经济仍然有利可图,但有迹象表明,美国和国际执法部门的严厉打击正在削弱黑客的收入。根据加密货币跟踪公司Chainalysis的数据,2022年勒索软件收入从2021年的7.66亿美元降至约4.57亿美元。 网络安全专业人士对Hive被攻破表示欢迎,但一些人担心,另一个组织将很快填补Hive留下的空白。 谷歌旗下网络安全公司Mandiant的副总裁John Hultquist告诉CNN:“Hive服务的中断不会导致整体勒索软件活动的严重下降,但它对一个通过攻击医疗系统而危及生命的危险组织是一个打击。” Hultquist说:“不幸的是,处于勒索软件问题核心的犯罪市场确保了Hive的竞争对手将在他们不在的情况下随时提供类似的服务,但他们在允许他们的勒索软件被用于攻击医院之前可能会三思而后行。” 联邦调查局局长Christopher Wray表示,联邦调查局将继续追踪Hive勒索软件背后的人,并试图逮捕他们。目前尚不清楚这些人所在的位置。卫生与公众服务部将Hive描述为“可能说俄语”的群体。 FBI的调查以及Hive网络攻击的技术方法 2022年7月,FBI根据联邦搜查令,首先获取了Hive数据库的访问权限,能够识别所有的受害者并获取对应的解密密钥。FBI将这些解密密钥分发给了世界各地的受害者,收到这些密钥的受害者证实,他们已经感染了Hive勒索软件,并且他们能够使用这些解密密钥解锁他们的文件。 2023年1月11日,美国调查人员获得了位于加州洛杉矶的两个服务器和一个VPS的镜像。同时荷兰警方也获取了两台荷兰服务器的同步备份镜像。服务器上均有Hive的三个暗网网站的代码数据和泄漏站点数据的副本。 此外,据美国网络安全和基础设施安全局(CISA)称,Hive勒索软件团伙的分支机构通过多种方法获得了对受害者网络的初始访问权,包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)和其他远程网络连接协议的单因素登录;利用FortiToken漏洞;以及发送带有恶意附件的钓鱼邮件。

Hive勒索软件团伙声称对印度塔塔电力公司进行勒索软件攻击,数据泄露在暗网上

其他国家动态, 暗网动态
Hive勒索软件团伙声称对塔塔电力公司(Tata Power)本月披露的一次网络攻击负责。 作为跨国企业集团塔塔集团的子公司,塔塔电力是印度最大的综合电力公司,总部设在孟买。 在Hive勒索软件团伙通过暗网搭建的泄密网站上,可以看到Hive勒索软件团伙已经发布了他们声称从塔塔电力窃取的数据,也就表明与塔塔电力进行的赎金谈判宣告失败。 Hive开始泄露据称从塔塔电力窃取的数据 Hive勒索软件组织声称,他们在10月3日加密了塔塔电力的数据。 目前,Hive勒索软件团伙背后的运营者已经在他们的暗网泄密网站上泄露了据称从塔塔电力窃取的内部数据。 Hive勒索软件团伙在其暗网泄密网站发布了塔塔电力的介绍、网址以及年收入。Hive勒索软件团伙称: 印度最大的综合电力公司 塔塔电力公司以前隶属于三个共同被称为塔塔电气公司的实体,是技术采用的先驱,拥有许多首创,支持该国的能源独立。 塔塔电力及其子公司和联合实体的发电量为 13,735 兆瓦,其中 35% 来自清洁能源。 该公司在包括太阳能屋顶和增值服务在内的价值链的每个领域都位居顶级私营企业之列。 塔塔电力是在技术、流程和平台方面引领能源行业的先驱。塔塔电力最新的业务集成解决方案专注于移动和生活方式,为“智能”客户提供新兴技术支持,有望实现多倍增长。 自 1915 年成立以来,塔塔电力现在在技术领先、卓越项目执行、世界级安全流程、客户服务和推动绿色倡议方面拥有超过一个世纪的专业知识,塔塔电力致力于为子孙后代“点亮生活” 。 并通过公开的暗网链接公布了塔塔电力员工相关数据(电子邮件、地址、护照、电话号码、付款、工作时间、纳税人信息等)、塔塔电力签订的合同、NDA和其他协议文件: http://u237r6z6axkagn6t2qiwx2rrvmq7pvz53tph7hl64geg3ee55gw66kad.onion/TATAPower/ 数据泄露后塔塔电力发布声明 网络安全分析师和研究员Dominic Alvieri在推特上介绍了这一事件进展。 Hive breaches Tata Power of India.https://t.co/xwPxnpRWmj @TataCompanies #cybersecurity #infosec @campuscodi @LawrenceAbrams pic.twitter.com/VpXNVmapwZ — Dominic Alvieri (@AlvieriD) October 25, 2022 另一位研究人员Rakesh Krishnan分享了被盗数据的屏幕截图,其中似乎包括塔塔电力员工的个人身份信息(PII)、国民身份证(Aadhar)卡号、PAN(税号)号码、工资信息等。 此外,数据转储还包含工程图纸、财务和银行记录以及客户信息,Krishnan建议道: What TATA POWER leak contains? PII Employees: #Aadhaar, PAN,Graduation, DL, Salary Engineering Drawings Financial Records – 20 Bank Records Client Contracts#hive #ransomware #databreach #OSINT #hack #phishing #security #cybersecurity #netsec #cyber #malware #dataleak #TATAPower pic.