Hiveネットワークへ潜入し復号鍵を取得

• Hiveは2021年6月以降、金融や医療機関など重要インフラ分野も対象に恐喝行為を行うランサムウエアグループで、米国司法省等の発表によれば、世界88か国、1,500以上の組織が標的となっており、恐喝で得た身代金の総額は1年間で1億ドルを超えている。またFBIはHiveの活動として以下の事例を取り上げている。

• FBIが今回の発表で明らかにしたのは、①Hiveネットワークへの潜入に伴う復号鍵取得及び被害組織への提供(2022年7月以降行われていたもの)と②Hive関係者が使用していたサーバーやWebサイトの掌握(2023年1月11日の捜査を契機に行われたもの)の2点。②のサーバー掌握にはドイツ、オランダの当局と協力して作戦遂行が行われた。今回行われなかったHive関係者の摘発について、司法省次官補のケネス氏は捜査を継続し、引き続き追跡を続けるとコメントを行っている。なお、今回の発表に際して、米国司法省が協力や支援への謝辞を示した各国機関は以下の通りで、EUROPOLによれば13か国が関わっている。
  • German Reutlingen Police Headquarters-CID Esslingen
  • German Federal Criminal Police
  • Europol
  • Netherlands Politie
  • U.S. Secret Service
  • U.S. Attorney’s Office for the Eastern District of Virginia
  • U.S. Attorney’s Office for the Central District of California
  • Justice Department’s Office of International Affairs
  • Cyber Operations International Liaison
  • Canadian Peel Regional Police
  • Royal Canadian Mounted Police
  • French Direction Centrale de la Police Judiciaire
  • Lithuanian Criminal Police Bureau
  • Norwegian National Criminal Investigation Service in collaboration with the Oslo Police District
  • Portuguese Polícia Judiciária
  • Romanian Directorate of Countering Organized Crime
  • Spanish Policia Nacional
  • Swedish Police Authority
  • United Kingdom’s National Crime Agency

• FBIは 2022年7月下旬に連邦捜査令状に基づいてHiveのネットワークに潜入し、暗号化されたファイルの復号に必要な鍵を取得。復号鍵は被害組織で暗号化が行われた際に作成されており、FBIは潜入後被害に遭った336の組織に対して生成された復号鍵を提供し、1億3000万ドル相当の身代金支払いを防ぐことに成功した。また潜入前の過去被害に遭った1000超の組織に対して、復号鍵の提供も行った。復号鍵を受け取った被害組織は実際にファイルの暗号化を解除できたことが確認されている。
• Hiveがこれまでリークサイト上に掲載した件数は207件で、日本の関連組織は1件（海外現地法人が掲載）のみとみられ、Hiveのリークサイトにおける最新の掲載は2023年1月16日だった。*1実際に暗号化の被害に遭っていたとみられる組織は1500超だったと発表がされていることから、Hiveにおいてリークサイト上に掲載のあった数は被害組織全体の2割に満たなかったこととなる。またFBI長官によれば、潜入活動中に法執行機関へ連絡をした被害組織はわずか20％だった。*2 なお、FBIが公表した影響を受けた国を色塗りした世界地図においては、日本も対象となっているように見受けられる。

The Hive ransomware group, which targeted governments, businesses, and organizations worldwide, was successfully disrupted. This coordinated operation with our global partners prevented $130 million+ in ransom payments. #ReportTheCompromise to https://t.co/lEI0AleTdE pic.twitter.com/t09gqR3wBH

— FBI (@FBI) 2023年1月26日

Hiveのインフラも明らかに

• HiveがRaaSモデルのサブスクリプションを提供するにあたり利用していたオンライン上のインフラは、データベースを管理するバックエンドのサーバーとフロントエンドの4つのWebサイト及びパネルで構成され、2023年1月11日の捜査を通じて得た情報から米国のホスティングプロバイダーよりHiveがこれらのサーバーの一部をリースしていることが判明した。
• FBIが把握したHive関係のサーバーはカリフォルニア州ロサンゼルスにある2台の専用サーバー(FBIはTarget Server 1、Target Server 2と呼称)と1台のVPSで、その内1台(Target Server 1)はフロントエンドのサーバー、もう1台(Target Server 2)はバックエンドのサーバーであることが確認された。フロントエンドのサーバーはオランダに存在したサーバーと冗長構成を組んでおり、Hiveが使用していたハニカムロゴの画像などもサーバーから確認された。また、Target Server 2には復号鍵以外に、Hiveの通信記録、マルウエアファイルのハッシュ値*3、Hiveの250のアフィリエイトの情報、被害組織の情報などが含まれていた。

• フロントエンドで構成されるパネルの内、アフィリエイト向けパネルの画面がどのようなものだったかの説明が行われている。アフィリエイトは被害組織ごとにデータを作成し、被害組織に関する情報入力後に暗号化に用いるランサムウエアを取得。また作成日や暗号化を行った日、支払い日などの進捗状況を入力する。

公式発表

• U.S. Department of Justice 2023年1月26日 U.S. Department of Justice Disrupts Hive Ransomware Variant
• EUROPOL 2023年1月27日 Cybercriminals stung as HIVE infrastructure shut down

更新履歴

• 2023年1月28日 AM 新規作成