Агенти ФБР стали криптовалютними шахраями, щоб заарештувати хакерів, які зламали 1500 державних установ у 80 країнах

Завдяки спільній операції Федерального бюро розслідувань, Міністерства юстиції США, поліції Німеччини та Нідерландів вдалось ліквідувати одну з найбільших мереж хакерів-вимагачів Hive. За словами колишнього агента спецслужб, у банді Hive або працював агент ФБР під прикриттям, або Бюро завербувало когось всередині Hive.

Зловмисники атакували школи, банки та лікарні у понад 80 країнах. З червня 2021 року їх жертвами стали приблизно 1 500 установ по всьому світу, а самі хакери заробили понад $ 100 мільйонів у криптовалютах. ФБР вдалося проникнути в мережу Hive ще в липні 2022 року, відтоді правоохоронці знайшли та вилучили понад 1 300 ключів дешифрування, щоб допомогти жертвам повернути свої кошти.

Як агенти ФБР проникли у Hive? За словами колишнього спецагента ФБР Даррена Мотта, однією з очевидних ознак наявності інсайдера в банді став незахищений дешифратор. Колишній радник ФБР Кріс Пірсон наголосив, що операція могла поєднувати два підходи. Наприклад, влада могла завербувати інсайдера, щоб той запросив «свою» людину приєднатися до команди.

Також хакери ФБР могли проникнути до системи Hive без внутрішньої допомоги. Опинившись всередині, федерали стали відстежувати дії кіберзлочинців у мережі. «Фактично вони зламують середовище, сидять спостерігають і накопичують інформацію про операцію — так само, як це роблять кіберзлочинці, коли атакують компанію», — зазначив Пірсон.

У чому полягала схема роботи хакерів? Спершу вони викрадали конфіденційні дані з електронних листів, документів, файлів та шифрували їх. Після чого вимагали у власників цієї інформації викуп у біткоїнах — це мало гарантувати видалення даних в архівах хакерів та збереження конфіденційності. Якщо жертви відмовлялася платити, всі викрадені дані вимагачі Hive публікували у даркнеті.

Чому хакери не помітили як опинились у пастці? ФБР надало більше 1000 ключів дешифрування жертвам Hive, проте хакери все одно не помітили таку кількість невдалих атак. Це може бути пов’язано з тим, що хакери працювали за RaaS-моделлю (Ransomware-as-a-Service) — у Hive було так багато афілійованих осіб, що вони не стежили за жертвами. Кіберзлочинці могли б зовсім нічого не запідозрити, якби жертви, які вирішили співпрацювати з правоохоронними органами, не заявили публічно, що втратили свої кошти.

Чому ФБР чекало 6 місяців? Як вважає колишній член Кібероперативної групи ФБР Ренді Паргман, чим довше ФБР залишалось всередині групи, тим більше у них було шансів знищити Hive. Якби хакери Бюро відключили сервер Hive одразу, зловмисники створили б новий і продовжили свою діяльність. Натомість правоохоронні органи стежили за існуючим сервером і непомітно надавали жертвам ключі дешифрування.

Ліквідація мережі Hive — не єдина успішна операція ФБР з боротьби з криптозлочинцями. У липні 2022 року поліція Естонії разом зі спеціалістами ФБР затримала двох засновників хмарного майнера біткоїнів HashFlare. Сергія Потапенка та Івана Туригіна підозрюють у шахрайстві з криптовалютою на $ 575 мільйонів.