Letartóztattak egy orosz gyanúsítottat, akit a Hive zsarolóprogrammal hoztak összefüggésbe

A francia hatóságok letartóztattak egy orosz állampolgárt Párizsban, aki a feltételezések szerint a Hive zsarolóvírus bandának segített a váltságdíjak tisztára mosásában.

A gyanúsítottat azt követően fogták el, hogy a francia kiberbűnözés elleni hivatal (OFAC) összekapcsolta őt azokkal a digitális pénztárcákkal, amelyekre több millió amerikai dollár érkezett gyanús forrásokból.

A rendőrség ügynökei 570 000 euró értékű kriptovalutát is lefoglaltak, amikor december 5-én őrizetbe vették a 40 éves ciprusi gyanúsítottat, ahogy arról a LeMagIT elsőként beszámolt.

Ugyanakkor az Europollal, az Eurojusttal és a ciprusi hatóságokkal való teljes körű együttműködés lehetővé tette, hogy házkutatást tartsunk a ciprusi tengerparti üdülőhelyen lévő otthonában, így fontos nyomozati elemeket szolgáltatva” – mondta Nicolas Guidoux, a francia belügyminisztérium egyik igazgatóhelyettese.

2023 januárjában egy nemzetközi bűnüldözési akció keretében lefoglalták a Hive zsarolóvírusos Tor weboldalakat.

2023. december 9-én a párizsi igazságügyi bíróság szakosodott ügyészsége elé idézték“.

Ennek következtében a gyanúsított részletes információkat szolgáltatott a Hive támadásairól, mielőtt azok bekövetkeztek volna, és segített figyelmeztetni a célpontokat. Az FBI emellett több mint 1300 dekódoló kulcsot szerzett meg és adott át az áldozatoknak, megakadályozva, hogy nagyjából 130 millió dollárnyi váltságdíj kerüljön kifizetésre.

A dekódoló kulcsok mellett az FBI és a holland rendőrség felfedezte a Hive kommunikációs feljegyzéseit, a malware fájljok hash-jeit és 250 Hive társvállalat adatait is, amelyeket a Hive szerverein tároltak egy kaliforniai tárhelyszolgáltatónál és a Hollandiában lévő backup szervereken.

Az amerikai külügyminisztérium most 10 millió dollárig terjedő összeget ajánlott fel minden olyan információért, amely segíthet a Hive zsarolóvírus csoport és külföldi kormányok közötti kapcsolatteremtésben.

Novemberben az FBI nyilvánosságra hozta, hogy 2021 júniusa óta több mint 1500 cégtől zsaroltak ki mintegy 100 millió dollárnyi összeget.

A Hive áldozatainak térképe (FBI)

A Hive 2019 júniusa óta több mint két éven át működött zsarolóvírus alapú szolgáltatásként (RaaS). Arról, hogy mi is az a RaaS és melyek a főbb jellemzői, készítettünk egy CTI tájékoztató anyagot, melyet az NBSZ NKI honlapján megtekinthet.

Amióta a bűnüldöző szervek felszámolták a banda infrastruktúráját, egy új, Hunters International nevű RaaS csoport bukkant fel, amely a Hive kódjait használta.

Will Thomas biztonsági kutató a minták elemzése során olyan kódátfedéseket és hasonlóságokat talált, amelyek több mint 60%-ban megegyeznek a Hive ransomware-rel. Ez arra a feltételezésre enged következtetni, hogy a régi zsarolóvírus banda egy másik név alatt folytatta tevékenységét.

A Hunters International kollektíva cáfolja a kutatók állításait, illetve azt állítják, hogy nem a titkosítás az elsődleges céljuk, hanem az, hogy adatokat lopjanak el, és azokat arra használják fel, hogy az áldozatokat váltságdíj fizetésére kényszerítsék.

(bleepingcomputer.com)