FBI捣毁"Hive"勒索软件团伙 - 《华尔街日报》

华盛顿——美国司法部周四表示，当局在侵入臭名昭著的Hive勒索软件团伙网络并获取其软件解密密钥后，已查封该组织的服务器，称此次行动为"21世纪网络监控行动"。

与Hive勒索软件相关的组织被当局和网络安全专家普遍视为近年来最高产且危险的网络犯罪团伙之一。司法部称，该组织涉及对医院、学校等1500多名受害者的攻击，并勒索了超过1亿美元的赎金。

官员们表示，这项始于佛罗里达州坦帕市夏季的行动中，联邦调查局特工渗透进Hive网络，利用此权限识别受害者并向其提供恢复网络控制权的密钥。司法部官员称，此举阻止了约1.3亿美元的赎金支付要求。

“联邦调查局和我们的检察官已成功侵入全球最猖獗的勒索软件变种之一的内部网络，“副司法部长丽莎·莫纳科表示，“我们反黑了黑客。”

副司法部长丽莎·莫纳科谈及此次与德国、荷兰警方协同的行动时表示：“我们反黑了黑客。“图片来源：曼德尔·恩根/法新社/盖蒂图片社官员们未在周四宣布逮捕行动，但表示调查仍在进行中。他们拒绝透露Hive勒索软件背后人员的具体所在地。专家指出，大多数勒索软件犯罪团伙位于东欧，尤其是俄罗斯及俄语国家。

在周三的联合行动中，德国和荷兰警方还查封了与该组织相关的服务器。周四Hive网站已无法访问，页面显示其因执法行动被查封。

勒索软件是一种恶意代码，可侵入受害者计算机网络并锁定重要文件。黑客随后要求支付赎金（通常以比特币或其他加密货币形式）来解锁文件。据悉Hive组织会通过二次入侵并植入新变种，惩罚那些成功恢复系统的受害者。

该组织最显著的特点之一是频繁攻击医院网络，导致患者护理中断。研究人员称Hive组织仅活跃了约两年。

该组织采用"勒索软件即服务"模式，核心开发团队将代码出售给附属机构实施攻击。官员和专家表示，这种利润分成机制有时会增加追踪勒索团伙幕后黑手的难度。

司法部长梅里克·加兰指出，Hive组织2021年夏季曾攻击中西部一家医院，迫使该机构停止接收新患者并使用纸质记录。他补充说，过去一个月该组织最新攻击目标包括佛罗里达州和加利福尼亚州的受害者。

联邦调查局局长克里斯托弗·雷（Christopher Wray）周四在华盛顿与身后的司法部长梅里克·加兰（Merrick Garland）一起讨论司法部针对勒索软件组织的行动。图片来源：jim lo scalzo/Shutterstock在2021年殖民管道（Colonial Pipeline）遭受网络攻击后，拜登政府开始将勒索软件视为头号国家安全威胁，该攻击导致东海岸最大的燃料输送管道关闭数日。与许多针对美国及其盟友的勒索软件威胁一样，此次攻击被归咎于一个讲俄语的网络犯罪团伙。

当时，联邦调查局局长克里斯托弗·雷表示，该机构正在调查约100种不同类型的勒索软件，其中许多可追溯到俄罗斯的黑客。他还将这一系列网络攻击与2001年9月11日恐怖袭击带来的挑战相提并论。

自那时起，司法部和其他机构开始优先考虑瓦解勒索软件团伙，并对黑客提起刑事诉讼。

雷先生周四表示，针对Hive的行动是联邦调查局迄今为止规模最大的网络行动之一。“就我们能够获取的密钥数量以及在此期间能够帮助的受害者数量而言，我不确定我们之前有过如此规模的行动，”他说。

根据本周提交的一份FBI宣誓书，Hive黑客留下了带有登录凭证的勒索信，指向一个被称为“销售部门”的Hive网站，受害者需通过该网站协商赎金支付并获取数据被盗证明。未支付赎金的受害者数据会被公开在网上。FBI表示，此前一次搜查曾追踪到位于洛杉矶和荷兰的服务器。

网络安全研究人员指出，虽然此次打击行动意义重大，但对整体勒索软件泛滥态势影响有限。

“瓦解Hive服务不会导致勒索软件活动总量大幅下降，但确实重创了这个通过攻击医疗系统危害生命的危险组织，”近期被Alphabet公司收购的网络安全企业Mandiant情报分析主管约翰·胡尔特奎斯特表示，“不幸的是，作为勒索软件问题核心的犯罪市场机制，将确保Hive的竞争者随时准备填补空缺提供类似服务——不过他们在允许勒索软件攻击医院前可能会三思而行。”

网络安全专家同时指出，此次行动展现了FBI策略的升级，其创新性工作凸显了执法部门能为受害者提供的实质性帮助。“这无疑是迄今为止打击勒索软件团伙最具标志性的执法行动，”现就职于Morrison Foerster律师事务所的前网络犯罪检察官亚历克斯·伊夫蒂米评价道。

Mandiant另一位研究员金伯利·古迪透露，Hive勒索软件是该公司2022年事件响应中遇到的最猖獗变种，占所有勒索软件入侵事件的15%以上。虽然Hive攻击目标遍布全球，但古迪女士指出其中50%的受害者位于美国。

萨迪·古尔曼为本文做出了贡献

联系 阿鲁纳·维斯瓦纳塔，邮箱：[email protected] 和达斯汀·沃尔兹，邮箱：[email protected]

刊登于2023年1月27日印刷版，标题为《美国查封知名勒索软件集团的服务器》。