2023年1月26日，美國司法部和歐洲刑警組織共同宣布，經(jīng)過長達(dá)6個月的滲透，臭名昭著的Hive 勒索軟件組織被FBI和國際刑警破獲：該組織的IT基礎(chǔ)設(shè)施已經(jīng)完全被破壞，Tor支付和數(shù)據(jù)泄露站點(diǎn)被查封，警方獲得兩臺服務(wù)器和一臺虛擬專用服務(wù)器的訪問權(quán)，并對在荷蘭托管的兩個備份專用服務(wù)器的訪問權(quán)限......

目前，Hive 勒索軟件組織在暗網(wǎng)的泄露站點(diǎn)顯示一條俄語和英語交替使用的信息：“作為針對Hive 勒索軟件組織全球協(xié)調(diào)執(zhí)法的一部分，這個隱藏的網(wǎng)站已經(jīng)被聯(lián)邦調(diào)查局查封。”這也意味著，F(xiàn)BI已經(jīng)徹底控制了Hive的核心站點(diǎn)。

同時，美國司法部長梅里克表示，警方正在構(gòu)建Hive開發(fā)人員、管理員和附屬機(jī)構(gòu)的地圖，作為逮捕、扣押Hive 勒索軟件組織以及其他行動的重要支撐證據(jù)。

美國司法部稱，自2022年7月下旬以來，F(xiàn)BI持續(xù)滲透Hive勒索軟件組織，破獲了其解密密鑰并向全球300多名受害者提供解密密鑰，還向以往的Hive勒索受害者分發(fā)了1千多個額外的解密密鑰，從而避免了大約 1.3 億美元的贖金支付。

換句話說，Hive勒索軟件組織基本上已經(jīng)被一網(wǎng)打盡，但是還存在一個明顯的遺留問題：Hive勒索軟件組織的核心成員依舊逍遙法外。這意味著Hive勒索軟件組織隨時都有可能會死灰復(fù)燃，只需要換一個馬甲就會再度成為全球網(wǎng)絡(luò)安全的毒瘤。

狂攬1億美元，Hive成2022年最暴利的勒索組織

2021年6月，Hive勒索軟件組織開始在全球網(wǎng)絡(luò)空間肆虐，以"勒索軟件即服務(wù)"的模式運(yùn)作，招募“附屬機(jī)構(gòu)”對外進(jìn)行部署，主要針對醫(yī)療保健組織以及其他配置薄弱無法抵御網(wǎng)絡(luò)攻擊的企業(yè)。

2022年11月，美國司法部公布一組令業(yè)界震驚的數(shù)據(jù)：截止到2022年11月，Hive勒索軟件組織已經(jīng)攻擊了1500多家企業(yè)，并成功獲得了大約1億美元的贖金，堪稱勒索軟件組織中最暴利的存在。

2021年8月，該團(tuán)伙聲稱總部設(shè)在伊利諾伊州的紀(jì)念衛(wèi)生系統(tǒng)是其第一個醫(yī)療保健行業(yè)的受害者，隨后是哥斯達(dá)黎加的公共衛(wèi)生服務(wù)和紐約的應(yīng)急響應(yīng)和救護(hù)車服務(wù)提供商Empress EMS。10月，Hive還將印度頂級發(fā)電公司Tata Power作為目標(biāo)。這些騷操作也讓Hive勒索軟件組織迅速在業(yè)界有了相當(dāng)大的名氣。

為了跑通"勒索軟件即服務(wù)"模式，Hive管理員建立了一個服務(wù)器網(wǎng)絡(luò)來運(yùn)行他們的在線犯罪業(yè)務(wù)。網(wǎng)絡(luò)面向公眾的一側(cè)或“前端”由四個可訪問的網(wǎng)站或“面板”組成，每個網(wǎng)站都面向不同類型的用戶/受眾。一個由Hive參與者使用的但公眾無法訪問的單獨(dú)服務(wù)器托管了一個支持前端Tor的數(shù)據(jù)庫面板和泄漏網(wǎng)站。

登錄到管理面板上的用戶界面，管理員能夠管理Hive數(shù)據(jù)庫，跟蹤攻擊，與附屬機(jī)構(gòu)溝通他們針對特定受害者的活動，并與受害者協(xié)商支付贖金。

Hive勒索軟件組織常用的入侵方法包括：通過遠(yuǎn)程桌面協(xié)議 （RDP）、虛擬專用網(wǎng)絡(luò) （VPN） 和其他遠(yuǎn)程網(wǎng)絡(luò)連接協(xié)議進(jìn)行單因素登錄;利用 FortiToken 漏洞;以及發(fā)送帶有惡意附件的網(wǎng)絡(luò)釣魚電子郵件。

公開資料顯示，Hive勒索軟件采用GO語言編寫，加密算法使用AES+RSA，同時這款勒索病毒也采用了“雙重”勒索的模式，通過在暗網(wǎng)上公布受害者數(shù)據(jù)，來逼迫受害者交納贖金。雖然該勒索組織剛出現(xiàn)不久，但已經(jīng)成為高度活躍且危險的勒索組織之一。

所謂“雙重勒索”是被害人已經(jīng)交過贖金攻擊者還可以再次封鎖被害人數(shù)據(jù)的一種攻擊，攻擊者加密目標(biāo)系統(tǒng)數(shù)據(jù)之前會先竊取數(shù)據(jù)，這樣，即便受害者有備份數(shù)據(jù)，勒索軟件仍然可以用泄露數(shù)據(jù)作威脅要求其支付贖金。

更過分的是，對于那些不支付贖金的企業(yè)，Hive勒索軟件組織會在其網(wǎng)絡(luò)上部署更多的惡意軟件，例如使用其他勒索軟件的變種，對于目標(biāo)用戶進(jìn)行重復(fù)感染，嚴(yán)重打擊了企業(yè)的系統(tǒng)更新和業(yè)務(wù)恢復(fù)的速率。

國際網(wǎng)警長達(dá)六個月的滲透

2022年，美國FBI聯(lián)合德國、加拿大、法國、立陶宛、荷蘭、挪威、葡萄牙、羅馬尼亞、西班牙、瑞典和英國，共同組建了全球執(zhí)法隊伍，對Hive勒索軟件組織進(jìn)行圍剿。

7月，美國FBI已經(jīng)滲透到 Hive 的計算機(jī)網(wǎng)絡(luò)，同時阻斷了Hive勒索軟件組織的多次勒索攻擊，其中包括針對路易斯安那州一家醫(yī)院、一家食品服務(wù)公司和德克薩斯州學(xué)區(qū)的攻擊。

在這場為期六個月的大圍剿行動中，F(xiàn)BI和歐洲警方可謂是極具耐心，在Hive勒索軟件組織未曾察覺的情況下，悄悄潛伏其中，一步步摸索清楚該組織的內(nèi)部成分、網(wǎng)絡(luò)、目標(biāo)服務(wù)器等等。

舉個例子，在滲透的過程中，F(xiàn)BI成功發(fā)現(xiàn)了Hive勒索軟件組織位于洛杉磯的兩個專用服務(wù)器和一個虛擬專用服務(wù)器（VPS）的鏡像。

這兩個專用服務(wù)器分別與IP地址（目標(biāo)服務(wù)器1）（目標(biāo)服務(wù)器2）相關(guān)聯(lián)。通過分析從所有服務(wù)器的搜索中獲得的證據(jù)，調(diào)查人員證實(shí)，這些證據(jù)都被Hive勒索軟件組使用過。特別是，調(diào)查人員證實(shí)，位于洛杉磯的目標(biāo)服務(wù)器1和荷蘭服務(wù)器被設(shè)置為冗余的web服務(wù)器。

通過分析來自目標(biāo)服務(wù)器2的數(shù)據(jù)，聯(lián)邦調(diào)查局確定它作為Hive網(wǎng)絡(luò)的后端，并包含Hive數(shù)據(jù)庫。

除了解密密鑰，當(dāng)聯(lián)邦調(diào)查局檢查在目標(biāo)服務(wù)器2上發(fā)現(xiàn)的數(shù)據(jù)庫時，聯(lián)邦調(diào)查局發(fā)現(xiàn)了Hive通信記錄、惡意軟件文件哈希值、Hive250個附屬機(jī)構(gòu)的4個信息，以及與之前獲得的信息一致的受害者信息解密密鑰操作。

這僅僅是其中一個例子。最終，Hive勒索軟件組織被FBI一鍋給端了，整個組織結(jié)構(gòu)遭到了毀滅性的打擊。目前尚不清楚的是，Hive勒索軟件組織主要領(lǐng)導(dǎo)與核心成員是否已經(jīng)被逮捕。

眾所周知，目前有不少國家并未對勒索組織成員采取打壓態(tài)勢，有些勒索組織也具備政府部門的身影，對勒索組織成員的抓捕造成了較為明顯的阻礙，對于勒索組織的打擊也不夠徹底。他們完全可以換一個馬甲重新發(fā)起新的勒索攻擊，曾經(jīng)名盛一時的Conti勒索軟件組織因為FBI的打壓而關(guān)閉，但該組織隨后又成立了新的勒索組織，繼續(xù)在全球范圍內(nèi)發(fā)起勒索攻擊。

持續(xù)增強(qiáng)勒索攻擊的打擊力度

美國FBI聯(lián)合歐洲警方共同執(zhí)法，對Hive勒索軟件組織進(jìn)行徹底的打擊，進(jìn)一步體現(xiàn)了全球主要國家對于勒索攻擊的態(tài)度。

自2019年以來，勒索攻擊以超高的經(jīng)濟(jì)收益、超強(qiáng)的危害、企業(yè)無法抵御的難度等要素，開始了自己的瘋狂的成長之路。勒索攻擊的對象也從中小公司一躍成為大型跨國企業(yè)，行業(yè)龍頭企業(yè)，國家關(guān)鍵基礎(chǔ)設(shè)施等，甚至勒索組織開始以某個國家和地區(qū)作為勒索目標(biāo)，態(tài)度囂張，日益猖獗。

在這場網(wǎng)安空間的對抗之中，勒索軟件組織一直處于優(yōu)勢地位，憑借著多元、復(fù)雜、先進(jìn)的攻擊手法，給無數(shù)企業(yè)和政府部門帶來了巨大的危害，最終勒索軟件組織也迎來了前所未的嚴(yán)峻打擊。

隨著越來越的企業(yè)拒絕支付贖金，勒索軟件組織的日子也越來越不好過。Chainalysis 對勒索軟件攻擊相關(guān)的錢包地址的跟蹤顯示，受害者在 2022 年支付的贖金為 4.57 億美元，而 2021 年為 7.66 億美元。

當(dāng)受害者發(fā)現(xiàn)勒索軟件 Conti 背后的黑客組織與俄羅斯有關(guān)聯(lián)，因本國政府實(shí)施的制裁他們有更多的理由拒絕支付贖金。網(wǎng)絡(luò)安全分析公司 Coveware 也觀察到了類似的趨勢，受害者支付贖金的比例從 2019 年一季度的 85% 降到了 2022 年四季度的 37%。

這意味著，共同對抗勒索軟件組織已經(jīng)成為越來越多企業(yè)的選擇，也是目前不少政府極力倡導(dǎo)的方向。而對于勒索軟件組織來說，凜冬似乎正在到來：Hive勒索軟件組織不是第一個，也不會是最后一個。