Hive Ransomware Gang Loses Its Honeycomb, Thanks to DoJ
2023/01/27 DarkReading — 連邦政府は、Hive ランサムウェア集団の活動を停止させ、総額 $130 million の身代金要求から被害者たちを救った。しかし、この取り組みが、ランサムウェア全体の状況に、どれほどの打撃を与えるかとなると、現状では判断できないだろう。米国司法省の発表によると、この 2021年6月に出現したグループの活動は、最近の数カ月において活発であり、世界 80数カ国で 1500件以上の被害者を出している。
Hive の活動もモデルは Ransomware-as-a-Service (RaaS) であり、教育/金融/重要インフラなどの分野に対して、データ窃取と二重恐喝を仕掛け続けてきた。少なくとも、そのアフィリエイトの1つは病院攻撃を専門としており、いくつかの医療機関において患者の治療に支障をきたしている。
FBI が 21世紀のサイバー張り込みと呼ぶように、当局は 2022年7月から Hive ネットワーク・インフラに侵入し、すでに復号キーを押収している。1月26日の FBI の発表は、「攻撃を受けていた Hive の被害者に対して、300 以上の復号化キーを提供した。さらに、以前の Hive被害者 にも、1,000以上の復号キーを配布した」というものだ。
Hive は永遠に消滅?
米国司法長官 Merrick Garland は記者会見で、「復号キーを押収しただけではなく、ドイツの法執行機関と協力して、同グループの Command and Control (C2) インフラ (ロサンゼルスにある2台のサーバ) と、同グループのダークウェブ・リークサイトを協調して押収した」と述べている。
この措置により、少なくとも短期的には、ランサムウェアの攻撃量に大きな影響が生じると予測される。Mandiant におけるインシデント対応において、対処されたランサムウェアのトップは Hive であり、侵入の 15% 以上を占めたという。
今回のシャットダウンは、このランサムウェア・ギャングにとって、大きな痛手であることは間違いないが、その関連組織やメンバーたちは、長期間の休眠状態には陥らないだろう。Conti や REvil で失業した脅威アクターたちの場合は、他のチームに加わることもあれば、再編成された可能性もあるのだ。
Mandiant Intelligence の Senior Manager である Kimberly Goody は、「複数の脅威アクターたちが、Hive RaaS を使用する状況を確認してきたが、私たちの調査に基づいて言うなら、最も多発したのは UNC2727 である。しかし、彼らのツールキットに含まれるランサムウェアは、Hive だけではない。過去において、Conti や MountLocker などを使用しているのも見てきた。つまり、ランサムウェアの関係者は、広範なエコシステム内で関係を築いており、それにより、事業の一部として、別ブランドへの移行を可能にしていると思われる」と、電子メールで述べている。
ランサムウェアは魅力的でなくなる?
ランサムウェアの異運営者たちが直面しているのは、利益率の低下/暗号通貨の価値低下/法執行機関の厳しい監視/ユーザー企業の適切なバックアップ、支払い拒否の増加などであり、ともて厳しい状況に陥っている。そのため、ランサムウェアの実行者たちが、他の方法で利益を得ようとする傾向が見えると、研究者たちは確認している。
元 FBI サイバー心理作戦アナリストで、Abnormal Security の研究責任者である Crane Hassold は、今回の事件が、その現象に拍車をかける可能性が高いと述べている。
彼は、「ランサムウェアの攻撃者が、business email compromise (BEC) のようなタイプの、サイバー攻撃に軸足を移す可能性は大いにあ。現時点において、BEC は、経済的な影響を与える最大のサイバー脅威である。企業ネットワークへの足がかりを得るために、マルウェアを使用するのではなく、従業員のメールボックスへのアクセスを確立すればよくなる。その後の攻撃のために、マルウェアを再構成するだけで、より大規模で巧妙な攻撃につながる可能性がある」と述べている。
このブログに Hive が登場したのは、2021/10/29 の「Hive ランサムウェアによる暗号化:Linux と FreeBSD がターゲットに追加」であり、そこでは、「Hive の Windows 用ランサムウェアには、プロセスの強制終了や、ディスク・クリーニング、興味のないファイルのスキップ、古いファイルのスキップなどが用意されている」と解説されていました。その後ですが、以下のように積極的に動き回り、大きな損害を各所にもたらしてきました。
2022/11/18:FBI 警告:Hive の被害額が約 $100M に到達
2022/03/27:Hive が 暗号化ツールを Rust に移植
2021/12/16:Hive は1ヶ月で7億円も稼いでいる
IoT OT Security News 
You must be logged in to post a comment.