A francia hatóságok letartóztattak egy orosz állampolgárt Párizsban, aki a feltételezések szerint a Hive zsarolóvírus bandának segített a váltságdíjak tisztára mosásában.
A gyanúsítottat azt követően fogták el, hogy a francia kiberbűnözés elleni hivatal (OFAC) összekapcsolta őt azokkal a digitális pénztárcákkal, amelyekre több millió amerikai dollár érkezett gyanús forrásokból.
A rendőrség ügynökei 570 000 euró értékű kriptovalutát is lefoglaltak, amikor december 5-én őrizetbe vették a 40 éves ciprusi gyanúsítottat, ahogy arról a LeMagIT elsőként beszámolt.
“Ugyanakkor az Europollal, az Eurojusttal és a ciprusi hatóságokkal való teljes körű együttműködés lehetővé tette, hogy házkutatást tartsunk a ciprusi tengerparti üdülőhelyen lévő otthonában, így fontos nyomozati elemeket szolgáltatva” – mondta Nicolas Guidoux, a francia belügyminisztérium egyik igazgatóhelyettese.
2023 januárjában egy nemzetközi bűnüldözési akció keretében lefoglalták a Hive zsarolóvírusos Tor weboldalakat.
“2023. december 9-én a párizsi igazságügyi bíróság szakosodott ügyészsége elé idézték“.
Ennek következtében a gyanúsított részletes információkat szolgáltatott a Hive támadásairól, mielőtt azok bekövetkeztek volna, és segített figyelmeztetni a célpontokat. Az FBI emellett több mint 1300 dekódoló kulcsot szerzett meg és adott át az áldozatoknak, megakadályozva, hogy nagyjából 130 millió dollárnyi váltságdíj kerüljön kifizetésre.
A dekódoló kulcsok mellett az FBI és a holland rendőrség felfedezte a Hive kommunikációs feljegyzéseit, a malware fájljok hash-jeit és 250 Hive társvállalat adatait is, amelyeket a Hive szerverein tároltak egy kaliforniai tárhelyszolgáltatónál és a Hollandiában lévő backup szervereken.
Az amerikai külügyminisztérium most 10 millió dollárig terjedő összeget ajánlott fel minden olyan információért, amely segíthet a Hive zsarolóvírus csoport és külföldi kormányok közötti kapcsolatteremtésben.
Novemberben az FBI nyilvánosságra hozta, hogy 2021 júniusa óta több mint 1500 cégtől zsaroltak ki mintegy 100 millió dollárnyi összeget.
A Hive áldozatainak térképe (FBI)
A Hive 2019 júniusa óta több mint két éven át működött zsarolóvírus alapú szolgáltatásként (RaaS). Arról, hogy mi is az a RaaS és melyek a főbb jellemzői, készítettünk egy CTI tájékoztató anyagot, melyet az NBSZ NKI honlapján megtekinthet.
Amióta a bűnüldöző szervek felszámolták a banda infrastruktúráját, egy új, Hunters International nevű RaaS csoport bukkant fel, amely a Hive kódjait használta.
Will Thomas biztonsági kutató a minták elemzése során olyan kódátfedéseket és hasonlóságokat talált, amelyek több mint 60%-ban megegyeznek a Hive ransomware-rel. Ez arra a feltételezésre enged következtetni, hogy a régi zsarolóvírus banda egy másik név alatt folytatta tevékenységét.
A Hunters International kollektíva cáfolja a kutatók állításait, illetve azt állítják, hogy nem a titkosítás az elsődleges céljuk, hanem az, hogy adatokat lopjanak el, és azokat arra használják fel, hogy az áldozatokat váltságdíj fizetésére kényszerítsék.
