Uhapšen ruski državljanin zbog sumnje da je povezan sa ransomware grupom Hive

Sajber hronika, 14.12.2023, 10:18 AM

Francuska policija uhapsila je u Parizu ruskog državljanina koji je osumnjičen da je pomagao ransomware bandi Hive u pranju novca iznuđenog od žrtava.

Osumnjičeni je uhapšen nakon što ga je Francuska kancelarija za borbu protiv sajber-kriminala (OFAC) povezala sa digitalnim novčanicima u kojima je, prilikom pretresa, pronađeno više od 615.000 dolara u kriptovalutama.

O osumnjičenom se ne zna mnogo osim da je ruski državljanin, star oko 40 godina i da živi na Kipru. On je identifikovan „zahvaljujući njegovoj aktivnosti na društvenim mrežama“, a potom je uhapšen, posle čega mu je određen pritvor, saopštilo je Ministarstvo unutrašnjih poslova Francuske.

Policija na Kipru obavila je pretres njegove kuće u jednom primorskom odmaralištu i tako došla do dokaza važnih za dalju istragu.

Pre nego što je infrastruktura ransomwarea Hive zaplenjena u januaru, Hive je korišćen za šifrovanje podataka i kompjuterskih sistema velikih tehnoloških i naftnih kompanija, kao i bolnica u Evropi i SAD. Od 2021. korišćen je u napadima na više od 1.500 kompanija širom sveta, koje su sajber-krimincima isplatile više od 100 miliona dolara za otkupninu.

U samoj Francuskoj, Hive je imao skoro 60 žrtava, uključujući Nacionalnu školu civilnog vazduhoplovstva i nekoliko službi lokalne samouprave i gradskih veća.

Hive je više od dve godine, od juna 2019., funkcionisao kao „ransomware-as-a-service” što znači da su napade vršile filijale grupe, ali su sam ransomware kreirali, održavali i ažurirali programeri. Kada bi žrtve platile, otkupnina je deljena tako da bi filijala koja je izvela napad dobila 80% a programeri 20%.

Grupa je koristila fišing taktike, ranjivosti uređaja i ukradene kredencijale da bi hakovala sisteme žrtava.

Tokom policijske operacije protiv Hivea u januaru, FBI je došao do više od 1300 ključeva za dešifrovanje koji su podeljeni žrtvama, kojima je to pomoglo da povrate pristup svojim podacima bez plaćanja sajber-kriminalcima. Na ovaj način su kriminalci ostali bez oko 130 miliona dolara koliko bi žrtve morale da im ispalate na ime otkupnine.

Pored ključeva za dešifrovanje, FBI i holandska policija su takođe došli do komunikacije članova grupe i detalja o 250 Hive filijala na serverima koji su bili pod kontrolom bande.

Američki Stejt department nudi nagradu do 10 miliona dolara za bilo koju informaciju koja bi mogla da pomogne u povezivanju grupe Hive (ili drugih aktera pretnji) sa stranim vladama.

Posle policijske akcije protiv grupe Hive, pojavio se novi ransomware-as-a-service pod nazivom Hunters International koji koristi 60% koda Hive ransomwarea. To verovatno znači da je grupa Hive nastavila sa radom pod drugim imenom. Međutim, Hunters International kaže da to nije tačno, i da su oni samo kupili kod ransomwarea od programera ransomwarea Hive.