« 欧州 ENISA パーソナルデータ共有を上手くやりこなす | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」 »


米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)







U.S. Department of Justice

・2023.01.26 U.S. Department of Justice Disrupts Hive Ransomware Variant - FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands

U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省がランサムウェアの亜種「Hive」を駆除
FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands FBIがHiveのネットワークに潜入し、1億3千万ドルを超える身代金要求を阻止
The Justice Department announced today its months-long disruption campaign against the Hive ransomware group that has targeted more than 1,500 victims in over 80 countries around the world, including hospitals, school districts, financial firms, and critical infrastructure. 司法省は本日、病院、学区、金融企業、重要インフラなど、世界80カ国以上で1,500人以上の被害者を対象にしたランサムウェアグループ「Hive」に対する数カ月にわたる破壊キャンペーンを発表した。
Since late July 2022, the FBI has penetrated Hive’s computer networks, captured its decryption keys, and offered them to victims worldwide, preventing victims from having to pay $130 million in ransom demanded. Since infiltrating Hive’s network in July 2022, the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims. Finally, the department announced today that, in coordination with German law enforcement (the German Federal Criminal Police and Reutlingen Police Headquarters-CID Esslingen) and the Netherlands National High Tech Crime Unit, it has seized control of the servers and websites that Hive uses to communicate with its members, disrupting Hive's ability to attack and extort victims. 2022年7月下旬以降、FBIはHiveのコンピュータネットワークに侵入し、その解読キーを捕獲して世界中の被害者に提供し、被害者が要求された1億3千万ドルの身代金を支払う必要がないようにした。2022年7月にHiveのネットワークに侵入して以来、FBIは攻撃を受けていたHiveの被害者に300以上の復号鍵を提供した。さらにFBIは、これまでのHive被害者に1,000個以上の追加の復号化キーを配布した。最後に、同省は本日、ドイツの法執行機関(ドイツ連邦刑事警察およびロイトリンゲン警察本部-CIDエスリンゲン)およびオランダ国家ハイテク犯罪ユニットと連携し、ハイブがメンバーとの通信に使用しているサーバーとウェブサイトを掌握し、ハイブが被害者を攻撃し恐喝する能力を停止させたことを発表した。
“Last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world,” said Attorney General Merrick B. Garland. “Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack. We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks.” Merrick B. Garland司法長官は、次のように述べた。「昨夜、司法省は、米国および世界中の被害者から数億ドルを恐喝したり、恐喝しようとした国際的なランサムウェアネットワークを解体した。サイバー犯罪は常に進化し続ける脅威である。しかし、以前から申し上げているように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。私たちは、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。また、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊し続ける。」
“The Department of Justice’s disruption of the Hive ransomware group should speak as clearly to victims of cybercrime as it does to perpetrators,” said Deputy Attorney General Lisa O. Monaco. “In a 21st century cyber stakeout, our investigative team turned the tables on Hive, swiping their decryption keys, passing them to victims, and ultimately averting more than $130 million dollars in ransomware payments. We will continue to strike back against cybercrime using any means possible and place victims at the center of our efforts to mitigate the cyber threat.” 司法省副長官リサ・O・モナコは次のように述べている。「司法省によるランサムウェアグループ「Hive」の破壊は、サイバー犯罪の被害者に対しても、加害者に対してと同様に明確に語りかけるべきものである。21世紀のサイバー張り込みにおいて、私たちの捜査チームはHiveに対抗し、彼らの復号化キーを盗んで被害者に渡し、最終的に1億3000万ドル以上のランサムウェアの支払いを回避することができた。私たちは、今後もあらゆる手段を使ってサイバー犯罪に反撃し、被害者を中心に据えてサイバー脅威を軽減していく。」
“The coordinated disruption of Hive’s computer networks, following months of decrypting victims around the world, shows what we can accomplish by combining a relentless search for useful technical information to share with victims with investigation aimed at developing operations that hit our adversaries hard,” said FBI Director Christopher Wray. “The FBI will continue to leverage our intelligence and law enforcement tools, global presence, and partnerships to counter cybercriminals who target American business and organizations." FBI長官クリストファー・レイは、次のように述べた。「数カ月にわたる世界中の被害者の解読に続き、Hiveのコンピュータネットワークを組織的に破壊したことは、被害者と共有すべき有益な技術情報の絶え間ない探索と、敵対者を徹底的に叩く作戦展開を目指した捜査を組み合わせることで、我々が何を達成できるかを示している。FBIは今後も、情報および法執行手段、グローバルな存在感、そしてパートナーシップを活用して、米国の企業や組織を標的とするサイバー犯罪者に対抗していく」。
“Our efforts in this case saved victims over a hundred million dollars in ransom payments and likely more in remediation costs,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division. “This action demonstrates the Department of Justice’s commitment to protecting our communities from malicious hackers and to ensuring that victims of crime are made whole.  Moreover, we will continue our investigation and pursue the actors behind Hive until they are brought to justice.” 司法省刑事局の Kenneth A. Polite, Jr. 司法長官補佐官は、次のように述べた。「この事件における我々の努力により、被害者は身代金の支払いで1億ドル以上、修復費用でさらに多くの金額を節約することができた。今回の措置は、悪質なハッカーから地域社会を守り、犯罪被害者の救済を確保するという司法省の取り組みを示すものである。 さらに、我々は捜査を継続し、Hiveの背後にいる行為者が裁判にかけられるまで追及していく。」
“Cybercriminals utilize sophisticated technologies to prey upon innocent victims worldwide,” said U.S. Attorney Roger Handberg for the Middle District of Florida. “Thanks to the exceptional investigative work and coordination by our domestic and international law enforcement partners, further extortion by HIVE has been thwarted, critical business operations can resume without interruption, and millions of dollars in ransom payments were averted.”  フロリダ州中部地区連邦検事ロジャー・ハンドバーグは、次のように述べた。「サイバー犯罪者は高度な技術を駆使して、世界中の罪のない被害者を食い物にしている。国内外の法執行機関のパートナーによる卓越した捜査活動と連携のおかげで、HIVEによるさらなる恐喝は阻止され、重要な業務が中断なく再開でき、数百万ドルの身代金の支払いも回避された 。」 
Since June 2021, the Hive ransomware group has targeted more than 1,500 victims around the world and received over $100 million in ransom payments.   2021年6月以降、Hiveランサムウェアグループは、世界中の1,500人以上の被害者を標的とし、1億ドル以上の身代金の支払いを受けた。 
Hive ransomware attacks have caused major disruptions in victim daily operations around the world and affected responses to the COVID-19 pandemic. In one case, a hospital attacked by Hive ransomware had to resort to analog methods to treat existing patients and was unable to accept new patients immediately following the attack.    Hiveランサムウェアの攻撃は、世界中の被害者の日常業務に大きな混乱をもたらし、COVID-19パンデミックへの対応にも影響を及ぼした。Hiveランサムウェアの攻撃を受けた病院では、既存の患者を治療するためにアナログな方法に頼らざるを得ず、攻撃直後から新しい患者を受け入れることができなくなったケースもある。   
Hive used a ransomware-as-a-service (RaaS) model featuring administrators, sometimes called developers, and affiliates. RaaS is a subscription-based model where the developers or administrators develop a ransomware strain and create an easy-to-use interface with which to operate it and then recruit affiliates to deploy the ransomware against victims. Affiliates identified targets and deployed this readymade malicious software to attack victims and then earned a percentage of each successful ransom payment. Hiveは、開発者と呼ばれることもある管理者とアフェリエイトを特徴とするランサムウェア・アズ・ア・サービス(RaaS)モデルを使用していた。RaaSは、サブスクリプション型のモデルで、開発者や管理者がランサムウェアの株を開発し、それを操作するための使いやすいインターフェースを作成し、被害者に対してランサムウェアを展開するアフィリエイトをリクルートするものである。アフィリエイトは、ターゲットを特定し、この既製の悪意のあるソフトウェアを展開して被害者を攻撃し、成功した身代金の支払いに応じて一定の利益を得ていた。
Hive actors employed a double-extortion model of attack. Before encrypting the victim system, the affiliate would exfiltrate or steal sensitive data. The affiliate then sought a ransom for both the decryption key necessary to decrypt the victim’s system and a promise to not publish the stolen data. Hive actors frequently targeted the most sensitive data in a victim’s system to increase the pressure to pay. After a victim pays, affiliates and administrators split the ransom 80/20. Hive published the data of victims who do not pay on the Hive Leak Site. Hiveの攻撃者は、二重の恐喝モデルを採用している。被害者のシステムを暗号化する前に、アフィリエイトは、機密データを流出させたり、盗み出したりする。そして、被害者のシステムを復号するために必要な復号キーと、盗まれたデータを公開しないことを約束させるために身代金を要求する。ハイブアクターは、被害者のシステム内の最も機密性の高いデータを標的とすることが多く、支払いへの圧力を高めることができる。被害者が支払った後、アフィリエイトと管理者は身代金を80/20で分配する。Hiveは、支払わない被害者のデータをHive Leak Siteで公開する。
According to the U.S. Cybersecurity and Infrastructure Security Agency (CISA), Hive affiliates have gained initial access to victim networks through a number of methods, including: single factor logins via Remote Desktop Protocol (RDP), virtual private networks (VPNs), and other remote network connection protocols; exploiting FortiToken vulnerabilities; and sending phishing emails with malicious attachments. For more information about the malware, including technical information for organizations about how to mitigate its effects, is available from CISA, visit [link] 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)によると、Hiveのアフェリエイトは、RDP(Remote Desktop Protocol)、VPN(仮想プライベートネットワーク)、その他のリモートネットワーク接続プロトコルによる単一要素ログイン、FortiTokenの脆弱性の利用、悪質な添付ファイルを含むフィッシングメールの送信など、さまざまな方法によって被害者のネットワークへの初期アクセスを獲得しているとのことである。マルウェアの影響を軽減する方法に関する組織向けの技術情報など、マルウェアに関する詳細については、CISAが提供している [link]。
Victims of Hive ransomware should contact their local FBI field office for further information.  Hiveランサムウェアの被害者は、最寄りのFBI支局に連絡してください。 
The FBI Tampa Field Office, Orlando Resident Agency is investigating the case. FBIタンパ支局オーランド常駐機関がこの事件を捜査している。
Trial Attorneys Christen Gallagher and Alison Zitron of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Chauncey Bratt for the Middle District of Florida are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課のChristen Gallagher、Alison Zitron両裁判官とフロリダ州中部地区連邦検事補のChauncey Bratt氏がこの事件を起訴している。
The Justice Department also recognizes the critical cooperation of the German Reutlingen Police Headquarters-CID Esslingen, the German Federal Criminal Police, Europol, and the Netherlands Politie, and significant assistance was provided by the U.S. Secret Service, U.S. Attorney’s Office for the Eastern District of Virginia, and U.S. Attorney’s Office for the Central District of California. The Justice Department’s Office of International Affairs and the Cyber Operations International Liaison also provided significant assistance. Additionally, the following foreign law enforcement authorities provided substantial assistance and support: the Canadian Peel Regional Police and Royal Canadian Mounted Police, French Direction Centrale de la Police Judiciaire, Lithuanian Criminal Police Bureau, Norwegian National Criminal Investigation Service in collaboration with the Oslo Police District, Portuguese Polícia Judiciária, Romanian Directorate of Countering Organized Crime, Spanish Policia Nacional, Swedish Police Authority, and the United Kingdom’s National Crime Agency. 司法省はまた、ドイツ・ロイトリンゲン警察本部-CIDエスリンゲン、ドイツ連邦刑事警察、欧州警察、オランダ政治局の重要な協力と、米国シークレットサービス、バージニア州東部地区連邦検事局、カリフォルニア州中部地区連邦検事局から多大な支援を受けた。また、司法省国際局およびサイバーオペレーション国際渉外部からも多大な支援をいただいた。さらに、カナダのピール地域警察とカナダ騎馬警察、フランスのDirection Centrale de la Police Judiciaire、リトアニア刑事警察局、オスロ警察管区と連携するノルウェー国家犯罪捜査局、ポルトガルPolicia Judiciária、ルーマニア組織犯罪対策局、スペインPolicia Nacional、スウェーデン警察当局、英国国家犯罪捜査局が大きな援助と支援を提供した。


・2023.01.26 Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant

Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant メリック・B・ガーランド司法長官、ランサムウェア「Hive」亜種の被害に関する発言を行う
Remarks as Delivered 挨拶
Good morning. おはようございます。
I am joined today by Deputy Attorney General Lisa Monaco, FBI Director Chris Wray, Assistant Attorney General for the Criminal Division Kenneth Polite, U.S. Attorney for the Middle District of Florida Roger Handberg, and Europol Representative to the United States Lenno Reimand. 本日は、リサ・モナコ副司法長官、クリス・レイFBI長官、ケネス・ポライト刑事局次長、ロジャー・ハンドバーグフロリダ州中部地区連邦検事、レノ・レイマン駐米欧州警察代表とともに出席している。
We are here to announce that last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world. 我々は、昨夜、米国および世界中の被害者から数億ドルを恐喝し、また恐喝しようとした国際的なランサムウェアネットワークを司法省が解体したことをここに発表する。
Known as the “Hive” ransomware group, this network targeted more than 1,500 victims around the world since June of 2021.  Hive」ランサムウェアグループとして知られるこのネットワークは、2021年6月以降、世界中の1,500人以上の被害者を標的としていた。 
In ransomware attacks, transnational cybercriminals use malicious software to hold digital systems hostage and demand a ransom. Hive ransomware affiliates employed a double extortion model. ランサムウェア攻撃では、国境を越えたサイバー犯罪者が悪意のあるソフトウェアを使用してデジタルシステムを人質に取り、身代金を要求する。 Hiveランサムウェアのアフェリエイトは、二重の強要モデルを採用していた。
First, they infiltrated a victim’s system and stole sensitive data. Next, the affiliates deployed malicious software, encrypting the victim's system, rendering it unusable. And finally, they demanded a ransom payment in exchange for a system decryption key and a promise not to publish any stolen data. まず、被害者のシステムに侵入し、機密データを盗む。 次に、悪意のあるソフトウェアを導入し、被害者のシステムを暗号化し、使用不能にする。そして最後に、システムの復号キーと、盗まれたデータを公開しないことを約束させる代わりに、身代金の支払いを要求したのである。
Hive affiliates targeted critical infrastructure and some of our nation's most important industries. Hiveのアフェリエイトは、重要なインフラや我が国の最も重要な産業をターゲットにしていた。
In one instance in August 2021, Hive affiliates deployed ransomware on computers owned by a Midwest hospital. At a time when COVID-19 was surging in communities around the world, the Hive ransomware attack prevented this hospital from accepting any new patients. The hospital was also forced to rely on paper copies of patient information. It was only able to recover its data after it paid a ransom. 2021年8月のある事例では、ハイブアフェリエイトが中西部の病院が所有するコンピュータにランサムウェアを展開した。 COVID-19が世界中の地域で急増していた頃、ハイブのランサムウェア攻撃により、この病院は新患を受け入れることができなくなった。 また、この病院は患者情報の紙媒体に頼らざるを得なかった。この病院では、身代金を支払って初めてデータを復旧することができた。
Hive’s most recent victim in the Central District of California was attacked on or about December 30 of last year. Its most recent victim in the [Middle] District of Florida was attacked around 15 days ago. カリフォルニア州中部地区におけるHiveの最新の被害者は、昨年12月30日頃に攻撃された。フロリダ州[中]地区での直近の被害者は、15日ほど前に攻撃された。
In its first year of operation, Hive extorted over $100 million in ransom payments from its victims.            Hiveは、その最初の1年間で、被害者から1億ドル以上の身代金を強要している。           
Last summer, FBI agents from the Tampa Division, with the support of prosecutors in the Criminal Division's Computer Crime and Intellectual Property Section and the Middle District of Florida infiltrated the Hive network and began disrupting Hive’s attempts to extort victims.  昨年夏、タンパ支部のFBI捜査官は、刑事部コンピュータ犯罪・知的財産課とフロリダ州中部地区の検察官の支援を受け、Hiveのネットワークに侵入し、Hiveによる被害者への恐喝の試みを妨害し始めた。 
For example, the FBI disrupted a Hive ransomware attack against a Texas school district’s computer systems. The Bureau provided decryption keys to the school district, saving it from making a $5 million ransom payment. 例えば、FBIはテキサス州の学区のコンピュータシステムに対するHiveのランサムウェア攻撃を阻止した。同局は復号キーを提供し、学区は500万ドルの身代金の支払いを免れることができた。
That same month, the FBI disrupted a Hive ransomware attack on a Louisiana hospital, saving the victim from a $3 million ransom payment. 同月、FBIはルイジアナ州の病院に対するHiveランサムウェアの攻撃を阻止し、被害者を300万ドルの身代金の支払いから救った。
The FBI was also able to disrupt an attack on a food services company. The Bureau provided the company with decryption keys and saved the victim from a $10 million ransom payment. FBIは、食品サービス会社に対する攻撃も阻止することができた。同局は同社に復号キーを提供し、被害者を1千万ドルの身代金支払いから救った。
Since July of last year, we provided assistance to over 300 victims around the world, helping to prevent approximately $130 million in ransom payments. 昨年7月以降、世界中で300人以上の被害者に支援を提供し、約1億3千万ドルの身代金支払いを防ぐことに貢献した。
Our continued investigative efforts led us to two back-end computer servers located in Los Angeles that were used by Hive to store the network’s critical information. Last night, pursuant to a court order, we seized those servers. We also received court authorization to wrest control of Hive's darknet sites and render its services unavailable. 我々は継続的な調査活動により、Hiveがネットワークの重要な情報を保存するために使用していたロサンゼルスにある2つのバックエンドコンピュータサーバを突き止めました。 昨夜、裁判所命令に従い、これらのサーバーを押収した。 また、ハイブのダークネットサイトの制御を奪い、そのサービスを利用できなくする許可を裁判所から得ている。
This morning, if a Hive affiliate tries to access their darknet site, this is what they will see. 今朝、ハイブの関係者がダークネットサイトにアクセスしようとすると、このような画面が表示される。
Our investigation into the criminal conduct of Hive members remains ongoing. ハイブメンバーの犯罪行為に関する調査はまだ続いている。
I want to thank all of the agents, prosecutors, and staff across the Department for their work on this matter. I also want to thank the United States Secret Service, as well as all of our international partners, including Germany and the Netherlands, as well as our law enforcement partners at Europol. この問題に取り組んでくれた捜査官、検察官、職員に感謝したい。 また、米国シークレットサービス、ドイツやオランダを含む国際的なパートナー、そして欧州警察機構の法執行機関のパートナーにも感謝したい。
Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack.   サイバー犯罪は常に進化する脅威である。 しかし、以前にも申し上げたように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。  
We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. 我々は、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。
And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks. そして、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊していく。
I’m now going to turn over the podium over to Deputy Attorney General Monaco.  それでは、モナコ副司法長官に壇上を譲ります。 



・2023.01.26 Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant

Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant リサ・O・モナコ司法副長官、ランサムウェア亜種「Hive」の被害状況についてコメントを発表
Remarks as Prepared for Delivery 配信用に準備した文書
Thank you, Mr. Attorney General. 司法長官、ありがとうございます。
Over the last two years, the Attorney General and I have made clear that the department will use all the tools at its disposal, and work with partners to attack the ransomware threat from every angle. この2年間、司法長官と私は、同省があらゆる手段を駆使し、パートナーと協力してあらゆる角度からランサムウェアの脅威を攻撃していくことを明確にしてきた。
The department’s agents, prosecutors, and trial attorneys have partnered with law enforcement allies across the globe: 同省の捜査官、検察官、司法弁護士は、世界中の法執行機関の同盟者と連携している。
・To track ransom payments through the block chain and seize them back for victims; ・ブロックチェーンを通じて身代金の支払いを追跡し、被害者のためにそれを押収すること。
・To dismantle ransomware networks; ・ランサムウェアのネットワークを解体する。
・To warn targets of exigent ransomware threats to prevent attacks; ・ランサムウェアの脅威を警告し、攻撃を防止すること。
・And to disrupt the criminal ecosystem that enables the targeting of innocent victims. ・そして、罪のない被害者をターゲットにすることを可能にする犯罪エコシステムを崩壊させることである。
We’ve made it clear that we will strike back against cyber crime using any means possible — today’s action reflects that strategy. 我々は、可能な限りの手段を用いてサイバー犯罪に反撃することを明確にしており、本日の行動はその戦略を反映したものである。
We have also pledged to place victims at the center of our mission and prioritize prevention. また、被害者を我々の任務の中心に据え、予防を優先させることを約束した。
As you’ll hear the FBI Director explain in greater detail, for the past several months the FBI and our prosecutors have been inside the network of one of the world’s most prolific ransomware variants: Hive. FBI長官がより詳しく説明するように、過去数か月間、FBIと検察当局は、世界で最も多発するランサムウェアの亜種「Hive」のネットワークに潜入してきた。
The FBI has labeled Hive a top 5 ransomware threat — both for its technical sophistication and for the harm it can inflict on victims. FBIは、Hiveをランサムウェアの脅威のトップ5に分類している。その技術的な巧妙さと被害者に与える被害の大きさからである。
But, for all the group’s technical prowess, it could not outfox our prosecutors, our agents, and our international law enforcement coalition. しかし、このグループの技術力は、我々検察当局、捜査官、そして国際的な法執行機関連合を出し抜くことができませんでした。
Unbeknownst to HIVE, in a 21st century cyber stakeout, our investigative team lawfully infiltrated Hive’s network and hid there for months — repeatedly swiping decryption keys and passing them to victims to free them from ransomware. HIVEが知らないうちに、我々の調査チームは21世紀のサイバー張り込みとして、合法的にHIVEのネットワークに潜入し、数ヶ月間そこに潜伏して、繰り返し復号キーを盗み、被害者に渡してランサムウェアから解放した。
For months, we helped victims defeat their attackers and deprived the Hive network of extortion profits. 数ヶ月の間、我々は被害者が攻撃者を打ち負かすのを助け、Hiveネットワークから強奪による利益を奪った。
Simply put, using lawful means, we hacked the hackers. 簡単に言えば、合法的な手段でハッカーをハッキングしたのである。
We turned the tables on Hive and busted their business model, saving potential victims approximately $130 million dollars in ransomware payments. 我々はHiveのビジネスモデルを破壊し、潜在的な被害者から約1億3千万ドルのランサムウェアの支払いを救った。
Successful actions like the one we announce today require the creative use of civil and criminal authorities, and they require partnerships – among law enforcement to be sure – but also with victims. 今日発表したような行動を成功させるには、民事と刑事の両権限をクリエイティブに活用し、法執行機関だけでなく、被害者とのパートナーシップも必要である。
Our actions in this investigation should speak clearly to those victims: it pays to come forward, and work with us. この捜査における我々の行動は、被害者にはっきりと伝えるべきものである。
We are all in this together – we need your help to stop cybercriminals, to prevent future victims. In exchange, we pledge our tireless efforts to help you protect your systems and prevent or recover losses. サイバー犯罪を阻止し、未来の犠牲者を出さないためには、皆さんの協力が必要なのである。サイバー犯罪者を阻止し、将来の被害者を出さないためには、皆さんの協力が必要である。その代わり、我々は皆さんのシステムを保護し、損失を防止または回復するために、たゆまぬ努力をすることを約束する。
When a victim steps forward it can make all the difference in recovering stolen funds or obtaining decryptor keys. 被害者が名乗り出れば、盗まれた資金の回収や復号キーの入手に大きな違いが生まれる。
Whether you own a small business, run a Fortune 500 company, oversee a school district, or manage a hospital — we can work with you to counter ransomware, mitigate harm, prevent losses, and strike back at the bad guys. 中小企業の経営者、フォーチュン500社の経営者、学区の監督者、病院の経営者など、ランサムウェアへの対策、被害の軽減、損失の防止、そして悪者への反撃のために、我々はあなたと協力することができるのである。
Although today’s announcement marks an important success in the international fight against ransomware, we will not rest when it comes to Hive and its affiliates. 本日の発表は、ランサムウェアとの国際的な戦いにおける重要な成功であるが、我々はHiveとその関連会社に関しても、決して手を緩めることはない。
If you target victims here in the United States, the Department of Justice will target you. 米国内の被害者をターゲットにするなら、司法省はあなたをターゲットにするだろう。
And if you are a victim, know that the Department of Justice and the FBI are on the job, and we’ll be fighting for you and alongside you throughout your time of crisis. そして、もしあなたが被害者になったとしても、司法省とFBIは仕事中であり、あなたのために、あなたの危機の間中、一緒に戦っていくことを知っておいてください。
I’ll now turn the podium over to Director Wray. では、レイ局長に壇上を譲ります。



Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group ランサムウェアグループ「Hive」の破壊を発表した記者会見におけるクリストファー・レイ長官のコメント
I’m pleased to represent the FBI here today and speak about our year-and-a-half-long disruption campaign against the Hive ransomware group. 本日、FBIを代表して、1年半に及ぶランサムウェアグループ「Hive」に対する破壊工作についてお話しできることを嬉しく思う。
Hive hurt thousands of victims across the country and around the world—until the FBI and our partners disrupted them, helping their victims decrypt their networks without Hive catching on, and then today dismantling Hive’s front- and back-end infrastructure in the U.S. and abroad. Hiveは、米国内および世界中で何千人もの被害者を出したが、FBIとそのパートナーは、Hiveが感染しないように被害者のネットワークを解読し、今日では米国および海外のHiveのフロントエンドおよびバックエンドのインフラを破壊するまで、被害者を混乱させた。
This operation was led by our Tampa Field Office, assisted by our Cyber Division team at FBI Headquarters and other field office personnel across the country, but also by FBI personnel stationed around the world, who led the collaboration with our foreign law enforcement partners—often shoulder to shoulder, scrutinizing the same data—that was essential to today’s success. Especially the fine work of the German Reutlingen Police Headquarters, the German Federal Criminal Police, the Netherlands National High Tech Crime Unit, and Europol. This coordinated disruption of Hive’s networks illustrates the power of collaboration between the FBI and our international partners.   この作戦はタンパ支局が主導し、FBI本部のサイバー課チームや全米の支局員が支援したが、世界各地に駐在するFBI職員が、海外の法執行機関と連携し、しばしば肩を並べて同じデータを精査したことが、今日の成功に欠かせなかった。特に、ドイツのロイトリンゲン警察本部、ドイツ連邦刑事警察、オランダ国家ハイテク犯罪課、および欧州警察(Europol)の素晴らしい働きぶりには目を見張ルものであった。 ハイブのネットワークを協調して破壊したことは、FBIと国際的なパートナーとの協力関係の威力を示している。  
The FBI’s strategy to combat ransomware leverages both our law enforcement and intelligence authorities to go after the whole cybercrime ecosystem—the actors, their finances, their communications, their malware, and their supporting infrastructure. And since 2021, that’s exactly how we’ve hit Hive ransomware. FBI のランサムウェア対策では、法執行機関と情報機関の両方の権限を活用し、サイバー犯罪のエコシステム全体(犯罪者、資金、通信、マルウェア、支援インフラ)を追及している。 そして2021年以降、私たちはまさにこの方法でHiveランサムウェアに対処してきた。
Last July, FBI Tampa gained clandestine, persistent access to Hive’s control panel. Since then, for the past seven months, we’ve been able to exploit that access to help victims while keeping Hive in the dark, using that access to identify Hive’s victims and to offer over 1,300 victims around the world keys to decrypt their infected networks, preventing at least $130 million in ransom payments, cutting off the gas that was fueling Hive’s fire. 昨年7月、FBIタンパはHiveのコントロールパネルに密かに、かつ持続的にアクセスすることに成功した。 それ以来、この7ヶ月間、私たちはHiveを闇に葬り、Hiveの被害者を特定し、世界中の1300人以上の被害者に感染したネットワークを解読するためのキーを提供し、少なくとも1億3000万ドルの身代金の支払いを防ぎ、Hiveの火種となっていたガスを絶つために、そのアクセス権を悪用して被害者を救済することができたのである。
Our access to Hive’s infrastructure was no accident. Across our cyber program, we combine our technical expertise, our experience handling human sources, and our other investigative tradecraft to seek out technical indicators victims can use to protect themselves. Hiveのインフラにアクセスできたのは偶然ではない。 私たちはサイバー犯罪対策プログラムを通じて、技術的な専門知識と人的資源を扱う経験、そしてその他の調査技術を組み合わせ、被害者が自らを守るために利用できる技術的な指標を探し求めている。
Here, that focus on obtaining useful technical indicators led us to Hive’s decryption keys—which we turned around and provided to those in need, like when our investigative team identified the initial stages of an attack against a university, proactively notified the school, and gave the institution the technical information it needed to kick Hive off of its network before ransomware was deployed.  例えば、ある大学に対する攻撃の初期段階を調査チームが特定し、積極的に学校に通知し、ランサムウェアが展開される前にHiveをネットワークから排除するために必要な技術情報を学校に提供したように、有用な技術指標を得ることに注力した結果、Hiveの復号キーに行き当たった。 
Or when an FBI case agent and computer scientist rushed to provide hands-on support to a local specialty clinic and helped the doctor, who also managed the clinic’s IT security, identify his office’s vulnerabilities and deploy his decryption key—because no victim is too small. また、FBIのケースエージェントとコンピュータサイエンティストが、地元の専門クリニックに駆けつけて実地支援を行い、クリニックのITセキュリティを管理していた医師が自分のオフィスの脆弱性を特定し、復号キーを配備するのを手伝ったこともある(なぜなら、被害者は小さすぎるということはないからである)。
We’ve also shared keys with many victims overseas through our foreign-based Legal Attaché offices, like when we gave a foreign hospital a decryptor they used to get their systems back up before negotiations even began, possibly saving lives. また、海外のリーガル・アタッシェ事務所を通じて、海外の多くの被害者とキーを共有した。例えば、海外の病院に暗号解読機を提供したところ、交渉が始まる前にシステムを復旧させ、人命を救うことができたのである。
Now, as we move to the next phase of the investigation, we’ve worked with our European partners to seize the infrastructure used by these criminal actors—crippling Hive’s ability to sting again. 現在、捜査は次の段階に進んでおり、ヨーロッパのパートナーと協力して、これらの犯罪者が使用したインフラを押収し、ハイブが再び攻撃を仕掛けることができないようにした。
I’m also here today to thank those victims and private sector partners who worked with us and who helped make this operation possible by protecting its sensitivities and to demonstrate that we can and will act on the information victims share with us. また、私は今日、私たちと協力してくれた被害者と民間企業のパートナーに感謝し、その機密を守ることでこの活動を可能にし、被害者から寄せられた情報に基づいて私たちが行動できることを示すために、ここにいる。
So today’s lesson for businesses large and small, hospitals and police departments, and all the other many victims of ransomware is this: Reach out to your local FBI field office today and introduce yourselves, so you know who to call if you become the victim of a cyberattack. We’re ready to help you build a crisis response plan, so when an intruder does come knocking, you’ll be prepared. 今日の教訓は、大企業や中小企業、病院や警察など、ランサムウェアの多くの被害者のために、次のようなことである。 サイバー攻撃の被害に遭ったときに誰に連絡すればよいかを知っておくために、今すぐお近くのFBI支部に連絡を取り、自己紹介をしてください。 FBIは、危機対応計画の策定を支援し、侵入者が襲ってきたときの備えを整えています。
And, like the Hive victims here, when you talk to us in advance—as so many others have—you’ll know how we operate: quickly and quietly, giving you the assistance, intelligence, and technical information you want and need. そして、今回被害に遭われた方々のように、事前に私たちにご相談いただければ、私たちがどのように活動しているかご理解いただけると思います。迅速かつ静かに、必要な支援、情報、技術情報を提供する。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported potential issues to law enforcement. Here, fortunately, we were still able to identify and help many victims who didn’t report in. But that is not always the case. When victims report attacks to us, we can help them—and others, too.  残念ながら、この7ヶ月の間に、ハイブの被害者のうち法執行機関に潜在的な問題を報告したのは、わずか20%程度であることがわかった。 ここで、幸いなことに、報告しなかった多くの被害者を特定し、支援することができたままであった。しかし、常にそうであるとは限らない。 被害者が私たちに攻撃を報告してくれれば、私たちは彼らを、そして他の人たちをも助けることができるのである。 
Today’s announcement is only the beginning. We’ll continue gathering evidence, building out our map of Hive developers, administrators, and affiliates, and using that knowledge to drive arrests, seizures, and other operations, whether by the FBI or our partners here and abroad.  本日の発表は始まりに過ぎない。我々は引き続き証拠を集め、ハイブの開発者、管理者、およびアフェリエイトの地図を作成し、その知識を使って、FBIや国内外のパートナーによる逮捕、押収、その他の活動を推進する。 
While this is, yes, a fight to protect our country, our citizens, and our national security, make no mistake—the fight for cybersecurity spans the globe. But the FBI’s presence and partnerships do, too. これは確かに、我が国と市民、そして国家安全保障を守るための戦いであるが、サイバーセキュリティのための戦いは世界中に及んでいることに間違いはない。 しかし、FBI の存在と協力関係もまた然りである。
So, a reminder to cybercriminals: No matter where you are, and no matter how much you try to twist and turn to cover your tracks—your infrastructure, your criminal associates, your money, and your liberty are all at risk.  And there will be consequences. さて、サイバー犯罪者への注意喚起である。 あなたがどこにいようと、そしてどれだけ自分の痕跡を消そうとしても、あなたのインフラ、犯罪仲間、お金、そしてあなたの自由はすべて危険にさらされているのである。  そして、その結果もまた然りなのである。
Resources リソース
U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省、ランサムウェアの亜種「Hive」を駆除






● Europol

・2023.01.27 Cybercriminals stung as HIVE infrastructure shut down

Cybercriminals stung as HIVE infrastructure shut down HIVE のインフラがシャットダウンされ、サイバー犯罪者が打撃を受ける
Europol supported German, Dutch and US authorities to shut down the servers and provide decryption tools to victims 欧州警察機構(Europol)がドイツ、オランダ、米国当局を支援し、サーバーの停止と被害者への復号ツールの提供を実現
Europol supported the German, Dutch and US authorities in taking down the infrastructure of the prolific HIVE ransomware. This international operation involved authorities from 13* countries in total. Law enforcement identified the decryption keys and shared them with many of the victims, helping them regain access to their data without paying the cybercriminals.  ユーロポールは、ドイツ、オランダ、米国の当局が、多発するランサムウェア「HIVE」のインフラを停止させるのを支援した。この国際的な作戦には、合計13カ国*の当局が関与している。法執行機関は解読鍵を特定し、それを多くの被害者と共有することで、サイバー犯罪者に金銭を支払うことなくデータへのアクセスを回復させることに成功した。 
In the last year, HIVE ransomware has been identified as a major threat as it has been used to compromise and encrypt the data and computer systems of large IT and oil multinationals in the EU and the USA. Since June 2021, over 1 500 companies from over 80 countries worldwide have fallen victim to HIVE associates and lost almost EUR 100 million in ransom payments. Affiliates executed the cyberattacks, but the HIVE ransomware was created, maintained and updated by developers. Affiliates used the double extortion model of ‘ransomware-as-a-service’; first, they copied data and then encrypted the files. Then, they asked for a ransom to both decrypt the files and to not publish the stolen data on the Hive Leak Site. When the victims paid, the ransom was then split between affiliates (who received 80 %) and developers (who received 20 %).  昨年、HIVEランサムウェアは、EUや米国の大手IT企業や石油会社の多国籍企業のデータやコンピュータシステムを侵害し、暗号化するために使用されたことから、大きな脅威として認識されている。2021年6月以降、世界80カ国以上の1500社以上がHIVEアフィリエイトの被害に遭い、身代金の支払いで約1億ユーロを失った。アフィリエイトはサイバー攻撃を実行したが、HIVEランサムウェアは開発者によって作成、維持、更新されていた。アフィリエイトは、「ransomware-as-a-service」という二重の強要モデルを使用していた。まず、データをコピーし、ファイルを暗号化する。そして、ファイルを復号することと、盗んだデータをHive Leak Siteに公開しないことの両方のために身代金を要求した。被害者が支払いを済ませると、身代金はアフィリエイト(80%)と開発者(20%)に分配された。 
Other dangerous ransomware groups have also used this so-called ransomware-as-a-service (RaaS) model to perpetrate high-level attacks in the last few years. This has included asking for millions of euros in ransoms to decrypt affected systems, often in companies maintaining critical infrastructures. Since June 2021, criminals have used HIVE ransomware to target a wide range of businesses and critical infrastructure sectors, including government facilities, telecommunication companies, manufacturing, information technology, and healthcare and public health. In one major attack, HIVE affiliates targeted a hospital, which led to severe repercussions about how the hospital could deal with the COVID-19 pandemic. Due to the attack, this hospital had to resort to analogue methods to treat existing patients, and was unable to accept new ones.   他の危険なランサムウェアグループも、ここ数年、このいわゆるランサムウェア・アズ・ア・サービス(RaaS)モデルを利用して、ハイレベルな攻撃を仕掛けてきた。これには、重要なインフラを維持する企業の多くで、感染したシステムを復号するために数百万ユーロの身代金を要求することも含まれている。2021年6月以降、犯罪者はHIVEランサムウェアを使用して、政府施設、通信会社、製造業、情報技術、医療・公衆衛生など、幅広い企業や重要インフラ部門を標的にしてきた。ある大規模な攻撃では、HIVEアフェリエイトが病院を標的とし、この病院がCOVID-19のパンデミックにどう対処するかについて深刻な反響を呼びました。この病院は、既存の患者を治療するためにアナログ的な方法を取らざるを得ず、新たな患者を受け入れることができなくなった。 
The affiliates attacked companies in different ways. Some HIVE actors gained access to victim’s networks by using single factor logins via Remote Desktop Protocol, virtual private networks, and other remote network connection protocols. In other cases, HIVE actors bypassed multifactor authentication and gained access by exploiting vulnerabilities. This enabled malicious cybercriminals to log in without a prompt for the user’s second authentication factor by changing the case of the username. Some HIVE actors also gained initial access to victim’s networks by distributing phishing emails with malicious attachments and by exploiting the vulnerabilities of the operating systems of the attacked devices.  アフェリエイトは、さまざまな方法で企業を攻撃した。一部のHIVE関係者は、Remote Desktop Protocol、仮想プライベートネットワーク、その他のリモートネットワーク接続プロトコルを介してシングルファクタログインを使用し、被害者のネットワークにアクセスした。また、HIVE関係者は、多要素認証をバイパスし、脆弱性を悪用してアクセスするケースもありました。これにより、悪意のあるサイバー犯罪者は、ユーザー名の大文字と小文字を変更することで、ユーザーの第2認証要素のプロンプトを出さずにログインすることができた。また、一部のHIVE行為者は、悪意のある添付ファイルを含むフィッシングメールを配信し、攻撃されたデバイスのOSの脆弱性を悪用して、被害者のネットワークへの最初のアクセスを獲得した。 
About EUR 120 million saved thanks to mitigation efforts 被害軽減の取り組みにより約1億2千万ユーロを節約
Europol streamlined victim mitigation efforts with other EU countries, which prevented private companies from falling victim to HIVE ransomware. Law enforcement provided the decryption key to companies which had been compromised in order to help them decrypt their data without paying the ransom. This effort has prevented the payment of more than USD 130 million or the equivalent of about EUR 120 million of ransom payments. ユーロポールは、他のEU諸国と協力して被害者救済活動を効率化し、民間企業がHIVEランサムウェアの犠牲になるのを防いだ。法執行機関は、身代金を支払うことなくデータを復号できるよう、感染した企業に復号鍵を提供した。この取り組みにより、1億3000万米ドル以上、または約1億2000万ユーロに相当する身代金の支払いを防ぐことができた。
Europol facilitated the information exchange, supported the coordination of the operation and funded operational meetings in Portugal and the Netherlands. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through cryptocurrency, malware, decryption and forensic analysis.  ユーロポールは、情報交換を促進し、活動の調整を支援し、ポルトガルとオランダでの活動会議に資金を提供した。また、ユーロポールは、入手可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、暗号通貨、マルウェア、復号、フォレンジック分析を通じて捜査をサポートした。 
On the action days, Europol deployed four experts to help coordinate the activities on the ground. Europol supported the law enforcement authorities involved by coordinating the cryptocurrency and malware analysis, cross-checking operational information against Europol’s databases, and further operational analysis and forensic support. Analysis of this data and other related cases is expected to trigger further investigative activities. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. 行動日には、ユーロポールは4名の専門家を派遣し、現場での活動の調整を支援した。ユーロポールは、暗号通貨およびマルウェア解析の調整、運用情報とユーロポールのデータベースとの照合、さらに運用解析およびフォレンジック支援を通じて、関係法執行機関を支援した。このデータおよびその他の関連事例の分析が、さらなる捜査活動の引き金となることが期待されます。欧州警察機構のJoint Cybercrime Action Taskforce (J-CAT)もこの活動を支援した。この常設作戦チームは、注目度の高いサイバー犯罪の捜査に取り組む各国のサイバー犯罪リエゾンオフィサーで構成されている。
*Law enforcement authorities involved *関係する法執行機関
Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police カナダ:カナダ騎馬警察(RCMP)およびピール地域警察
France: National Police (Police Nationale) フランス フランス国家警察(Police Nationale)
Germany: Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW) ドイツ ドイツ:連邦刑事局(Bundeskriminalamt)およびロイトリンゲン警察本部 - CID Esslingen (Polizei BW)
Ireland: National Police (An Garda Síochána) アイルランド アイルランド国家警察(An Garda Síochána)
Lithuania: Criminal Police Bureau (Kriminalinės Policijos Biuras) リトアニア リトアニア:刑事警察局(Kriminalinės Policijos Biuras)
Netherlands – National Police (Politie) オランダ:国家警察(Politie)
Norway: National Police (Politiet) ノルウェー 国家警察(Politiet)
Portugal: Judicial Police (Polícia Judiciária) ポルトガル 司法警察(Polícia Judiciária)
Romania: Romanian Police (Poliția Română – DCCO) ルーマニア ルーマニア警察 (Poliția Română - DCCO)
Spain: Spanish Police (Policía Nacional) スペイン スペイン警察(Policía Nacional)
Sweden: Swedish Police (Polisen) スウェーデン スウェーデン警察(Polisen)
United Kingdom – National Crime Agency イギリス - 国家犯罪局(National Crime Agency
USA – United States Secret Service, Federal Bureau of Investigations 米国:米国シークレットサービス、連邦捜査局(Federal Bureau of Investigations
Headquartered in The Hague, the Netherlands, Europol supports the 27 EU Member States in their fight against terrorism, cybercrime, and other serious and organized crime forms. Europol also works with many non-EU partner states and international organisations. From its various threat assessments to its intelligence-gathering and operational activities, Europol has the tools and resources it needs to do its part in making Europe safer. オランダのハーグに本部を置くユーロポールは、テロリズム、サイバー犯罪、その他の重大犯罪や組織犯罪との戦いにおいて、EU加盟国27カ国を支援している。また、欧州連合以外の多くのパートナー国や国際組織とも連携している。様々な脅威の評価から情報収集や作戦活動まで、欧州警察機構は欧州をより安全にするために必要なツールと資源を有している。



« 欧州 ENISA パーソナルデータ共有を上手くやりこなす | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」 »


Post a comment

(Not displayed with comment.)

Comments are moderated, and will not appear on this weblog until the author has approved them.

« 欧州 ENISA パーソナルデータ共有を上手くやりこなす | Main | NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」 »