ה-FBI חיסל את תשתית הכופרה Hive

הבולשת הפדרלית של ארה"ב הודיעה כי חדרה לרשתות תשתית הכופרה של Hive וסגרה אותה, ובכך מנעה ביצוע של תשלום דמי כופר בסך כ-130 מיליון דולר.

פרסום החיסול של תשתית ארגון הכופר היה במדיה החברתית, ורק לאחר כמה שעות אישרו היורופול וה-FBI אישרו את נכונות הפרסום.

עוד נחשף כי, באופן נדיר, אנשי ה-IT של ה-FBI השתמשו בטקטיקות סייבר התקפי על מנת לחדור לרשת של כנופיית הכופרות. כך, במבצע המשותף לכמה סוכנויות אכיפה בינלאומיות, ב-2021, במהלך חיסול הפעילות של כנופיית הכופרה  REvil – נעשה שימוש בכלי סייבר התקפיים.

REvil הייתה אחראית למתקפה על קולוניאל פייפליין – מתקפה שהובילה למחסור בגז בחוף המזרחי בארצות הברית. הניסיון של הממשל האמריקני לעצור את הקבוצה הואץ אחרי שהיא פגעה בחברת התוכנה האמריקנית קסיה (Kaseya).

לדברי ה-FBI הארגון חדר בראשונה לרשת של Hive ביולי 2022. במהלך אותה תקופה, שבה אנשי ה-IT של הבולשת השיגו נראות על פעילות הכנופייה, הם "גנבו" מתשתית הכנופייה יותר מ-300 מפתחות פענוח לקורבנות שהותקפו. הבולשת לא סיפקה פרטים על אופן החדירה, רק ציינה כי היא עשתה זאת כחלק ממבצע של 13 רשויות אכיפה, בהן גרמניה, הולנד, ובריטניה.

מומחי אבטחה ציינו, כי Hive הייתה אחת מקבוצות הכופרה כשירות, ה-RaaS – הפוריות ביותר בעולם.

בדצמבר 2022, חברת האבטחה דירגה את חברי הקבוצה במקום ה-11 בין קבוצות הכופרה הפעילות המובילות לשנה החולפת. לפי הבולשת, חברי Hive תקפו בהצלחה יותר מ-1,500 ארגונים ביותר מ-80 מדינות ברחבי העולם. עם קורבנות הכופרה נמנים איגוד המירוצים של ניו יורק, Tata Power ההודית וענקית הטלקום הצרפתית Altice. מפעילי תשתית הכופרה, כמו גם "שותפיה", ידועים גם בהפעלת טקטיקות של סחיטה כפולה.

כריסטופר ריי, מנהל ה-FBI, אמר, כי "המבצע המתואם, שפגע ברשתות המחשבים של Hive, מהווה עדות למה שאנחנו יכולים להשיג – בשילוב של חיפוש לא פוסק אחר מידע טכני שימושי, ושיתוף מידע עם הקורבנות. כך, ערכנו פעולות שפגעו קשה ביריבינו. ה-FBI ימשיך למנף את כלי המודיעין ואכיפת החוק, הנוכחות הגלובלית והשותפויות שלנו, כדי להתמודד עם פושעי סייבר שמתמקדים בעסקים ובארגונים אמריקניים".

אנליסטים ציינו, כי "לצד ההערכה למבצע המשולב ולתוצאות המוצלחות שלו, ולמרות שסוכנויות האכיפה יראו בכך ניצחון, ההיסטוריה מלמדת אותנו שבמקרים דומים, פושעי הסייבר הם לרוב חמקמקים ובסופו של דבר, יעברו לעבוד עבור כנופיות יריבות".

אנליסט אחד כתב, כי "הורדת Hive לא תביא לירידה משמעותית בפעילות הכוללת של כנופיות המפעילות כופרות ברמה העולמית, אבל זה בהחלט ניצחון לאכיפת החוק וסימן לכנופיות פושעי סייבר מרושעות אחרות – שלמעשיהן יש השלכות משמעותיות".

בכיר בעולם האבטחה אמר, כי "הסרה מתואמת של קבוצת כופרות גדולה כמו Hive, שהיוותה חלק גדול מפעילות הכופרה כשירות (RaaS) ב-2022, יכולה לשבש את שוק ה-RaaS ולהפחית את היקף המתקפות המוצלחות. עם זאת, סביר להניח כי שחקני איומים אחרים ימלאו את החלל שנותר בעקבות ההסרה של Hive". בכיר אחר ציין כי "למרות שהעולם חוגג את תפיסת התשתית של Hive, אין זה אומר שחבורת כנופיות הכופרה נעלמה לנצח… התשתית היא רק מרכיב אחד בהצלחת הכנופייה. עד שרשויות אכיפת החוק ילכדו את הפושעים, יש סיכוי גבוה שהם יצוצו מחדש, תחת זהות חדשה עם תשתית חדשה לגמרי שמוכנה לפעול שוב. האיום של הכופרות עדיין נמצא במגמת גידול".