Norweska policja pomogła zatrzymać hakerskiego giganta

Amedia miała poważne problemy z drukiem gazet, gdy hakerzy za pomocą wirusów z Hive sparaliżowali biznes. Zdjęcie: STIAN LYSBERG SOLUM / NTB.

- ,,Sieć wyrządziła wiele szkód wielu firmom na całym świecie. Również w Norwegii" - twierdzi prokurator policji Erik T. Hansen z policji w Oslo.

W grudniu 2021 r. nieznani sprawcy wykorzystali wirusy firmy Hive do przejęcia kontroli nad systemami Amedia i zażądali okupu w celu przywrócenia kontroli. Włamanie spowodowało między innymi poważne problemy z drukowaniem papierowych gazet przez grupę medialną.

W czwartek Departament Sprawiedliwości Stanów Zjednoczonych ogłosił, że Hive, działający jako oprogramowanie ransomware, został usunięty z sieci. Cała infrastruktura Hive ma zostać zdemontowana i zastąpiona tzw. "plakatem powitalnym". Według prokuratora generalnego USA, Merricka B. Garlanda, międzynarodowa grupa przestępcza zajmująca się okupami wyłudzała i próbowała wyłudzić setki milionów dolarów od ofiar w Stanach Zjednoczonych oraz na całym świecie.

 W czwartek, w ramach skoordynowanej akcji z niemiecką i holenderską policją, przejęto kontrolę nad stronami internetowymi i serwerami sieci. W śledztwie uczestniczyła także norweska policja.

Zażądał okupu w zamian za nieujawnienie danych.

„ Uważa się, że po wczorajszym ataku Amerykanów sieć została mocno dotknięta. Zdobyli także klucz deszyfrujący, który umożliwia zagrożonym firmom dostęp do ich danych bez płacenia z góry okupu” - mówi prawnik policyjny Erik T. Hansen, który pracuje w wydziale ds. cyberprzestępczości finansowej w dystrykcie policji w Oslo.

„Sieć Hive dokonała włamania do systemów komputerowych wielu firm i zaszyfrowała znaczną ilość danych. Następnie zagrozili, że ujawnią te wrażliwe informacje w Internecie, jeśli nie otrzymają okupu”.- mówi Hansen dla NRK.

Wymuszenie w miliardowych kwotach.

Zamknięcie sprawy następuje po długim dochodzeniu. Według Departamentu Sprawiedliwości Stanów Zjednoczonych od czerwca 2021 r. sieć wyłudziła ponad 100 milionów dolarów, co przekłada się na blisko miliard koron norweskich.

Szacuje się, że na całym świecie jest ponad 1500 ofiar. Oprócz osób prywatnych, presja finansowa wywierana była na szpitale, szkoły, przedsiębiorstwa i infrastrukturę krytyczną.

Według Ministerstwa Sprawiedliwości model biznesowy Hive polegał na pobieraniu części pieniędzy, które szantażyści otrzymywali od swoich ofiar.

Dyrektor wykonawczy Pål Nedregotten z Amedia otrzymał tę wiadomość od Departamentu Sprawiedliwości Stanów Zjednoczonych.

"To satysfakcjonujące, że łapie się przestępców komputerowych," powiedział w rozmowie z NRK.

Firma Amedia opisała podmiot zajmujący się oprogramowaniem ransomware jako "jedną z największych i najbardziej zaawansowanych grup na świecie, które zarabiają duże ilości czarnych pieniędzy na tworzeniu złośliwego oprogramowania i ułatwianiu korzystania z wirusów ransomware".

Atak komputerowy kosztował firmę około 30 milionów NOK. Około połowa związana była z utratą dochodów z subskrypcji i reklam.

Pozostała część kosztów wiązała się z faktyczną techniczną obsługą ataku na dane oraz konsekwencjami operacji po ataku.

Na właściwym torze

Erik T. Hansen nie wyklucza możliwości, że inne grupy hakerów mogą być gotowe przejąć rolę, którą obecnie pełni sieć Hive.

„Czas pokaże, czy inni aktorzy są teraz gotowi zająć miejsce Hive’a. Jednak ta operacja policyjna pokazuje, że policja międzynarodowa, także przy wsparciu policji norweskiej, ma szansę mocno uderzyć w te sieci i że jesteśmy na dobrej drodze do zwalczania również tego rodzaju przestępczości" - komentuje.

Znaleziono klucze

W lipcu 2022 roku FBI zdołało przedostać się do sieci Hive i skraść klucze deszyfrujące. Następnie zostały one rozdane ofiarom szantażu w celu umożliwienia im odzyskania kontroli nad zaszyfrowanymi komputerami.

Dzięki temu zabiegowi FBI uniemożliwiło przestępcom uzyskanie dostępu do 130 milionów dolarów, które próbowano wyłudzić od ofiar.

Pål Nedregotten z Amedia stwierdził, że nie ma szczegółowych informacji na temat postępowania śledczego, oprócz tych, które podają media.

"Nigdy nie prowadziliśmy dialogu ani z Hive, ani z FBI. Nasza wiedza opiera się wyłącznie na tym, co czytamy w prasie" - powiedział Nedregotten dla NRK.