Меню Затваряне

HIVE: 100 млн. долара от един криптовирус

Обновена на 07.02.2023 от Questo

В ранните часове на една августовска неделя през 2021 г. служителите на Memorial Health System започват да осъзнават, че клиниката е станала обект на кибератака. Част от информационните системи в базиранотоа в Илинойс здравно заведение спират да работят.

Ръководството е принудено да отмени всички спешни операции, планирани за следващия ден. Лекарите и медицинските сестри трябва да записват на хартия показателите на пациентите, защото вече не могат да разчитат на медицинско оборудване.

Проблемът е толкова сериозен, че почти веднага здравното заведение започва преговори с авторите на кибератаката, които искат пари, за да я прекратят. Но това не е единственият проблем. Хакерите публикуват данните на над 200 хил. пациенти на клиниката. Един от тези пациенти дори завежда дело срещу здравното заведение.

Kриптовирусна пандемия

Memorial Health System е една от около 1500-те жертви на HIVE – криптовирус, който шифрира файловете и ги прави негодни за работа. Традиционно атаката с криптовирус е последвана от имейл съобщение, което известява жертвата, че може да си върне достъпа до файловете, ако плати откуп.

Но лицата, опериращи с HIVE, отиват една стъпка напред. След като намерят начин да инсталират криптовируса в информационната система, те извличат копие на всякакви чувствителни данни, които открият: списъци с пациенти, адреси, медицински досиета и т.н. Това им позволява да осъществят т.нар двоен рекет: искат пари не само за да отключат шифрираните данни, но и за да не ги публикуват в интернет.

Над 100 млн. долара платени под формата на откупи

За съществуването на HIVE се знае от средата на 2021 г. Авторите му са изградили огромна мрежа, която дистрибутира криптовируса в различни организации. Според изявления на Европол и американското правосъдно министерство тази мрежа е била разбита. Полицията твърди, че общият размер на събраните чрез HIVE откупи е над 100 млн. долара.

Рекет като мултилевъл маркетинг компания

Все по-често авторите на криптовируси действат като мултилевъл маркетинг компания. След като създадат продукта (криптовируса), те го предоставят на всеки дистрибутор, който желае да го използва.

Работата на дистрибутора е да намери уязвима органзация, в чиято система вирусът може да се инсталира. Най-често пробивът в системите е ставал през RDP (отдалечен достъп) и уязвимости във виртуалните частни мрежи или инструментите за двуфакторна автентикация, използвани от засегнатите организации.

Дистрибуторите използват уеб базиран панел, през който управляват разпространението на криптовируса. През него те могат да следят колко атаки са успешни, какви откупи са събрани. От същия панел те могат да си изтеглят и събраните от откупи пари.

Снимка: американско правосъдно министерство

Общо взето дистрибуторите са тези, които ходят от врата на врата и пласират „продукта“. Разработцичите се грижат за сървърите, на които се хоства уеб базираната система за дистрибуция и отчитане на приходите. Когато бъде платен откуп, дистрибуторът задържа 80% от сумата, а другите 20% отиват за разработчиците.

Еволюция на бизнеса с компютърни престъпления

Хората, занимаващи се с компютърни престъпления, все по-често действат като търговски организации. Те създават инструмент за извършване на престъпления и го отдават под наем на всеки, който желае да се занимава с подобни неща. Желаещите вършат черната работа, а групата на върха оркестрира цялата дейност и събира част от приходите.

По този начин оперират не само HIVE, но и други криптовируси като LockBit. Авторите на LockBit 3.0 публикуваха през 2022 г. откраднатите данни на българска спедиторска компания с годишен оборот от над 80 млн. лв.

Групата около LockBit все още е активна, поне ако се съди по сайта им в даркуеб. На него продължават да се публикуват съобщения за хакнати компании. Някои от тях имат таймери, които показват колко време остава, преди откраднатите от компанията данни да бъдат публикувани. Част от съобщенията съдържат информация и за исканата като откуп сума.

Има редица групи, занимаващи се с рансъмуер, които си имат собствени уебсайтове с информация за хакнати компании и дори FAQ секции, в които отговарят на най-често задаваните от журналисти въпроси. Прогнозира се, че само през 2022 г. тези групи са източили почти 500 млн. долара от жертвите си.

Някои групи функционират не без чувство за хумор. Авторите на криптовируса Vice Society например наричат жертите си „партньори“. Обикновено на „партньорите“ се дава срок от 7 дни, за да платят искания откуп. Междувременно на сайта на групата се публикува заплашително съобщение, което показва колко данни са откраднати и какво горе-долу съдържат.

ИМАШ ПОЩА!

Веднъж месечно ще изпращаме на имейла ти съвети и истории, които ще ти помогнат да предпазиш данните си.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *