Hive

报告编号: TIR-2026-0622-009 | 分类等级: TLP:AMBER | 发布日期: 2026年6月22日 | 情报来源: 多源交叉验证（OSINT + CISA/FBI/HHS 联合公告 AA22-321A + DOJ 执法行动报告 + Microsoft MSTIC + Europol）

一、执行摘要

Hive 是2021年6月至2023年1月间活跃的全球顶级勒索软件即服务（RaaS）组织，在被执法部门瓦解前已攻击超过 1,500 个组织，覆盖 80+ 国家，累计收取赎金超过 1 亿美元。该组织以医疗卫生 sector 为首要目标，同时攻击政府设施、通信、关键制造和信息技术行业。

Hive 的核心特征在于其被 FBI 秘密渗透并瓦解的戏剧性结局——2022年7月起，FBI 坦帕外勤站特工以附属机构身份潜入 Hive 内部网络，在长达7个月的秘密行动中获取超过 300 个解密密钥，在勒索谈判开始前即向336名受害者提供了密钥，阻止了约 1.3 亿美元的额外赎金支付。2023年1月26日，美国司法部长 Merrick Garland 亲自宣布"我们黑入了黑客"（We hacked the hackers）。

关键发现

维度	关键指标
组织规模	1,500+ 受害者，80+ 国家（截至2023.01被瓦解时）
赎金收入	1 亿美元+（已确认收取），1.3 亿美元（FBI 阻止的额外赎金）
加密方式	Go 变体：AES 对称加密 → Rust 变体：ECDH Curve25519 + XChaCha20-Poly1305
首要入口	RDP/VPN 凭证攻击 + ProxyShell + FortiOS CVE + Batloader（Google Ads）
商业模式	RaaS（附属80% / 管理员20%分成）
关联组织	Conti 生态（人员重叠）、DEV-0237/Pistachio Tempest（大型附属）
多平台支持	Windows、Linux、FreeBSD、VMware ESXi
MITRE ATT&CK	无独立组织 ID（Microsoft 追踪代号 DEV-0237 → Pistachio Tempest）
解密可能性	部分存在（FBI 渗透期间获取并分发了300+密钥，但无公开解密工具）
当前状态	已瓦解（2023.01 执法行动，核心成员后续被捕）

威胁等级评估

评估维度	等级	说明
技术能力	🟠 高	Go→Rust 重写、ECDH+XChaCha20 加密、多平台变体
运营成熟度	🔴 极高	三大 API 门户（附属/受害者/泄露站）、专业化分工
攻击规模	🔴 极高	1,500+ 受害者，80+ 国家，Top-5 勒索威胁
目标针对性	🔴 极高	医疗卫生为首要目标，学校、政府、关键基础设施
数据泄露风险	🔴 极高	双重勒索 + HiveLeaks 泄露站倒计时

二、威胁行为者画像

2.1 组织标识

属性	值
官方名称	Hive / Hive Ransomware Group
别名	DEV-0237（Microsoft，后更名为 Pistachio Tempest）
MITRE ATT&CK	无独立组织 ID
组织类型	RaaS（开发者-附属模式）
活跃周期	2021年6月 – 2023年1月（被 FBI 瓦解）
主要语言	英语（勒索信/泄露站）、俄语（内部通信）
地理归属	俄语地区（高置信度）；核心领导者位于乌克兰（2023.11被捕）
攻击目标	全球 80+ 国家
动机	经济利益

2.2 组织演化时间线

2021.06    Hive 勒索软件首次被发现
           RaaS 模式运营，招募附属机构
           目标：医疗卫生、政府、教育
    ↓
2021.08    Memorial Health System（美国俄亥俄州）遭攻击
           医院被迫拒绝新患者，全面转为纸质记录
    ↓
2022.04    大规模利用 ProxyShell 漏洞攻击 Microsoft Exchange
           CVE-2021-31207/34473/34523
    ↓
2022.05    HHS 向医疗机构发出 Hive 警告
           称其"异常激进"
    ↓
2022.06    Microsoft MSTIC 发现 Hive Rust 变体
           完成 Go→Rust 代码迁移
           新加密方案：ECDH Curve25519 + XChaCha20-Poly1305
    ↓
2022.07    FBI 坦帕外勤站开始秘密渗透 Hive 网络
           特工以附属机构身份潜入，维持7个月
    ↓
2022.11    CISA/FBI/HHS 发布联合公告 AA22-321A
           确认 1,300+ 受害者，1 亿美元赎金
    ↓
2023.01.26 司法部长 Merrick Garland 宣布瓦解 Hive
           13 国执法机构联合行动
           缴获服务器，获取 300+ 解密密钥
           阻止 1.3 亿美元额外赎金
    ↓
2023.05    美国起诉 Mikhail Matveev（Wazawaka）
           Hive/LockBit/Conti 关联人物
           $10M 悬赏
    ↓
2023.11.21 Europol 协调，乌克兰警方逮捕5人
           包括疑似组织领导者（32岁）
           搜查30处地点
    ↓
2023.12    法国巴黎逮捕 Hive "银行家"
           俄罗斯国籍，~40岁，居住塞浦路斯
           查获 €570,000+ 加密货币
    ↓
2024.11    Mikhail Matveev 在俄罗斯被捕
           被指控开发恶意加密程序
           关联 Hive、LockBit、Conti、Babuk、Trigona

三、归因分析

3.1 地理归属

证据类型	详情	置信度
语言分析	内部通信使用俄语；勒索信/泄露站使用英语	高
执法行动	2023.11 乌克兰西部逮捕5名核心成员（含领导者）	高
关联人物	Mikhail Matveev（Wazawaka）— 俄罗斯国籍，2024.11在俄被捕	高
Conti 关联	人员与 Conti 生态重叠，但未直接支持乌克兰入侵	中-高
基础设施	C2 服务器位于洛杉矶（被 FBI 缴获）	中

3.2 Conti 生态关联

Hive 与 Conti 勒索组织存在显著的人员和技术重叠：

人员共享：Mikhail Matveev（Wazawaka）同时作为 Conti、LockBit、Hive、Trigona、NoEscape 的附属成员，并在 Babuk 担任管理角色
技术重叠：Hive 部分 TTPs 与 Conti 相似（凭证窃取、横向移动、卷影副本删除）
关键区别：Hive 未公开表态支持俄罗斯对乌克兰的军事入侵，而 Conti 声称与俄罗斯政府保持一致
资金流向：Hive 的赎金支付可能流向 Conti 内部的同一批人员

3.3 关键人物

人物	角色	状态
Mikhail Matveev（Wazawaka）	附属/多重角色	2024.11 在俄罗斯被捕
未命名领导者（32岁）	组织核心领导	2023.11 在乌克兰被捕
未命名"银行家"（~40岁）	资金管理	2023.12 在法国巴黎被捕
DEV-0237	大型附属机构	Microsoft 追踪，活跃于医疗/软件行业

四、技术能力评估

4.1 加密方案演化

Go 变体（2021.06 – 2022.06）

属性	值
编程语言	Go（GoLang）
加密算法	AES-256（对称加密）
密钥管理	每个文件嵌入加密密钥
密钥文件	`.key` 文件放置在目标系统根目录
勒索信	`HOW_TO_DECRYPT.txt`
文件扩展名	特定于密钥文件关联的扩展名

Rust 变体（2022.06 – 2023.01）

属性	值
编程语言	Rust
密钥交换	ECDH（Elliptic Curve Diffie-Hellman）Curve25519
对称加密	XChaCha20-Poly1305（认证加密）
密钥管理	内存中生成两组密钥，加密文件后写入驱动器根目录（两组 `.key` 扩展文件）
字符串加密	`.rdata` 段中字符串运行时 XOR 解密
优势	内存安全、数据类型安全、并发加密性能高、逆向工程难度大

Rust 变体加密流程：

1. 生成 victim_private_key（Curve25519 私有密钥）
2. 通过 ECDH 生成 victim_public_key（basepoint = 9 + 31个零）
3. 生成 24 字节 nonce（用于 XChaCha20-Poly1305）
4. 使用 XChaCha20 对称加密文件数据
5. 使用 Poly1305 生成认证标签
6. 将加密密钥写入两组 .key 文件（驱动器根目录）

4.2 多平台变体

平台	语言	首次发现	说明
Windows	Go → Rust	2021.06	主要变体，功能最完整
Linux	Go → Rust	2021	针对服务器和 NAS 设备
FreeBSD	Go	2022	针对 FreeBSD 服务器
VMware ESXi	Rust	2022	针对虚拟化环境，影响面极大

4.3 双重勒索机制

┌─────────────────────────────────────────────────┐
│              Hive 双重勒索模型                    │
├─────────────────────────────────────────────────┤
│                                                   │
│  第一阶段：数据窃取                               │
│  ├── rclone + Mega.nz 云存储 exfiltration         │
│  ├── 敏感文件识别与分类                            │
│  └── 大规模数据外传                               │
│                                                   │
│  第二阶段：文件加密                               │
│  ├── 终止备份/AV/文件复制进程                      │
│  ├── vssadmin 删除卷影副本                         │
│  ├── 清除 Windows 事件日志                         │
│  └── 执行加密（.key 文件 + HOW_TO_DECRYPT.txt）   │
│                                                   │
│  第三阶段：勒索谈判                               │
│  ├── 受害者登录 Hive "Sales Department"（Tor）     │
│  ├── 管理员与附属协商赎金                          │
│  └── 赎金以 Bitcoin 支付                          │
│                                                   │
│  第四阶段：数据泄露（如未支付）                    │
│  └── 数据发布至 HiveLeaks（Tor 泄露站）           │
│                                                   │
└─────────────────────────────────────────────────┘

五、攻击链分析

5.1 初始访问

技术	MITRE ATT&CK	详情
外部远程服务	T1133	RDP、VPN 单因素登录；部分绕过 MFA（FortiOS CVE-2020-12812）
钓鱼邮件	T1566.001	恶意附件，利用 ProxyShell 漏洞
公开漏洞利用	T1190	Exchange ProxyShell（CVE-2021-31207/34473/34523）、FortiOS
Google Ads 投毒	T1583.001	Batloader 通过恶意广告分发（TeamViewer/Zoom/AnyDesk 仿冒）

5.2 执行与持久化

技术	MITRE ATT&CK	详情
PowerShell	T1059.001	`IEX (New-Object Net.WebClient).DownloadString(...)` 内存加载恶意载荷
Cobalt Strike	T1059	下载并执行混淆 PowerShell 脚本（Cobalt Strike Beacon）
创建用户	T1136.001	创建名为 “user” 的新用户，加入 Remote Desktop Users 和 Administrators 组
计划任务	T1053.005	通过计划任务维持持久化

5.3 横向移动与发现

技术	MITRE ATT&CK	详情
RDP 横向移动	T1021.001	`mstsc.exe /v:target_computer_name` 批量 RDP 连接
PsExec	T1570	Sysinternals PsExec 推送勒索二进制文件
SoftPerfect 网络扫描	T1046	枚举域内所有资产，输出到 `domains.txt`
凭证转储	T1003	Mimikatz 提取凭证

5.4 数据外传

技术	MITRE ATT&CK	详情
rclone	T1567.002	配置 Mega.nz 远程存储，自动化数据外传
Mega.nz	T1537	云存储服务用于接收窃取数据
WinSCP	T1048	手动传输敏感文件

5.5 防御规避与影响

技术	MITRE ATT&CK	详情
终止安全进程	T1562.001	终止备份、AV、文件复制进程
删除卷影副本	T1490	`vssadmin delete shadows /all /quiet`
清除日志	T1070.001	删除 System、Security、Application 事件日志
字符串加密	T1027	Rust 变体 XOR 运行时解密，规避静态分析
文件加密	T1486	XChaCha20-Poly1305 / AES-256 加密 + `.key` 文件

六、受害者分析

6.1 规模与地理分布

指标	值
确认受害者	1,500+ 组织（截至2023.01）
覆盖国家	80+
赎金收入	1 亿美元+
FBI 阻止	1.3 亿美元额外赎金
密钥分发	336 名受害者在缴获前获得解密密钥

6.2 行业分布

行业	优先级	典型案例
医疗卫生（HPH）	🔴 首要	Memorial Health System（2021.08）、多家美国医院
政府设施	🔴 高	Navarre 公共机构（2022.05）、Costa Rica 政府（2022.05-06）
通信	🟠 高	Bell Technical Solutions（2022.08）
关键制造	🟠 高	多家制造业企业
信息技术	🟠 高	软件公司、IT 服务商
金融	🟡 中	Bank of Zambia（2022.05）
教育	🟡 中	美国德克萨斯学区（$5M 赎金）
零售/体育	🟡 中	Intersport（2022.11）

6.3 重大攻击事件

时间	受害者	影响
2021.03	CNA Insurance	保险行业重大事件
2021.08	Memorial Health System	医院被迫拒绝新患者，转为纸质记录，放射检查和紧急手术取消
2022.04	Microsoft Exchange 服务器	大规模 ProxyShell 利用
2022.05	Navarre 公共机构（西班牙）	地方政府服务中断
2022.05	Bank of Zambia	中央银行遭攻击
2022.05-06	Costa Rica	政府机构连续遭攻击
2022.08	Bell Technical Solutions	加拿大电信服务商
2022.11	Intersport	国际体育用品零售连锁

七、RaaS 运营模式分析

7.1 组织架构

┌──────────────────────────────────────────────────────┐
│                 Hive RaaS 架构                        │
├──────────────────────────────────────────────────────┤
│                                                        │
│  ┌─────────────┐                                      │
│  │  管理员      │ 编写加密软件、设置基础设施、制定规则  │
│  │  (20% 分成) │                                      │
│  └──────┬──────┘                                      │
│         │                                              │
│         ├──→ 附属门户（API）：招募/管理附属机构         │
│         ├──→ 受害者门户（API）：赎金谈判界面            │
│         └──→ 泄露站（HiveLeaks）：数据发布             │
│                                                        │
│  ┌─────────────┐                                      │
│  │  附属机构    │ 侦察、入侵、部署勒索软件              │
│  │  (80% 分成) │ 包括 DEV-0237 等大型附属              │
│  └─────────────┘                                      │
│                                                        │
│  ┌─────────────┐                                      │
│  │  银行家      │ 管理赎金资金流转                      │
│  │             │ 加密货币洗钱                          │
│  └─────────────┘                                      │
│                                                        │
└──────────────────────────────────────────────────────┘

7.2 三大 API 门户

门户	功能	访问方式
附属门户	附属注册、载荷下载、收益查看	Tor 网络
受害者门户（Sales Department）	赎金谈判、密钥交付	Tor 网络（需管理员提供登录凭证）
HiveLeaks	数据泄露展示、倒计时施压	Tor 网络（公开访问）

7.3 洗钱路径

赎金以 Bitcoin 收取，通过以下路径清洗：

受害者支付 → Bitcoin 钱包 → "银行家"管理 → 多层混币 → 最终提取

八、FBI 执法行动分析

8.1 行动时间线

时间	事件
2022.07	FBI 坦帕外勤站特工以附属身份潜入 Hive 网络
2022.07-2023.01	7个月秘密监控期间，获取 300+ 解密密钥
持续	向336名受害者分发密钥（在勒索谈判前）
持续	识别 Hive 目标，协助受害者恢复
2023.01.26	13国联合行动，缴获 Hive 两台后端服务器（洛杉矶）
2023.01.26	Hive 网站替换为执法缴获横幅
2023.01.26	美国国务院宣布 $10M 悬赏

8.2 行动细节

渗透方式：FBI 特工伪装为 Hive 附属机构，获得完整网络访问权限
关键成果：秘密生成并获取解密密钥，在受害者被勒索前即提供恢复能力
典型案例：
- 德克萨斯学区：面临 $5M 赎金，FBI 提前提供密钥
- 路易斯安那医院：面临 $3M 赎金，密钥当天恢复运营（“可能拯救了生命”）
- unnamed 食品服务公司：面临 $10M 赎金，密钥避免支付
国际合作：美国、德国、荷兰、英国（NCA）、加拿大、法国、爱尔兰、立陶宛、挪威、葡萄牙、罗马尼亚、西班牙、瑞典

8.3 后续逮捕

时间	地点	人物	角色
2023.11.21	乌克兰西部	5人（含32岁领导者）	组织核心
2023.12	法国巴黎	俄罗斯国籍~40岁	“银行家”（€570K+ 加密资产查获）
2024.11	俄罗斯	Mikhail Matveev（Wazawaka）	多重附属/管理者

九、IOC 完整列表

9.1 网络指标

类型	值	说明
IP	`139.60.161.228:3389`	C2 服务器
域名	`teamviewclouds[.]com`	Batloader 分发
域名	`caroseyama[.]xyz`	恶意广告重定向
域名	`zoomyclouds[.]com`	仿冒域名
域名	`zohosz[.]com`	仿冒域名
域名	`anydeskos[.]com`	仿冒域名
域名	`logmein-cloud[.]com`	仿冒域名
域名	`foxitr[.]com`	仿冒域名
域名	`fortinetq[.]com`	仿冒域名
域名	`dc444.4sync[.]com`	Batloader MSI 托管
域名	`regprivate[.]ru`	仿冒域名托管商
文件	`HOW_TO_DECRYPT.txt`	勒索信
文件	`.key.`	密钥文件（格式：`[KEY_NAME].key.[VICTIM_IDENTIFIER]`）
文件	`windows.exe`	勒索载荷（Go 变体伪装名）
文件	`scrED95.ps1`	Batloader 下载脚本
文件	`pssEDC6.ps1`	Batloader 转换脚本
文件	`update.bat`	Batloader 工作脚本
文件	`domains.txt`	SoftPerfect 网络扫描输出

9.2 Batloader 仿冒域名列表

zoomyclouds[.]com, zoomedes[.]com, zohosz[.]com, teamviewerq[.]com,
teamviewer-cloudcomputing[.]com, teamviewclous[.]com, teamviewclouds[.]com,
teamcloudcomputing[.]com, staroness[.]com, standartnotess[.]com,
slackicorp[.]com, programmbatcheck[.]com, openofficee[.]com, logmein-cloud[.]com,
logcloudmein[.]com, gimpimage[.]com, foxitr[.]com, fortinetq[.]com,
fidelyclouds[.]com, evernotcorp[.]com, dom82[.]net, cloudsslack[.]com,
anydeskos[.]com, anydeskis[.]com, anyclouddesk[.]com, adubecorp[.]com

9.3 被利用漏洞

CVE	影响组件	CVSS	说明
CVE-2020-12812	FortiOS SSL VPN	9.8	MFA 绕过（用户名大小写变更）
CVE-2021-31207	MS Exchange	7.2	ProxyShell 安全功能绕过
CVE-2021-34473	MS Exchange	9.8	ProxyShell RCE
CVE-2021-34523	MS Exchange	9.8	ProxyShell 权限提升

十、检测规则

10.1 Sigma 规则

规则 1：Hive 卷影副本删除

title: Hive Ransomware - Volume Shadow Copy Deletion
id: a1b2c3d4-e5f6-7890-abcd-ef1234567890
status: experimental
description: 检测 Hive 勒索软件删除卷影副本的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains|all:
      - 'vssadmin'
      - 'delete'
      - 'shadows'
      - '/quiet'
  condition: selection
level: high
tags:
  - attack.defense_evasion
  - attack.t1490

规则 2：Hive PowerShell 内存加载

title: Hive Ransomware - PowerShell In-Memory Execution
id: b2c3d4e5-f6a7-8901-bcde-f12345678901
status: experimental
description: 检测 Hive 使用的 PowerShell IEX 内存下载执行模式
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains|all:
      - 'IEX'
      - 'DownloadString'
      - 'Net.WebClient'
  condition: selection
level: high
tags:
  - attack.execution
  - attack.t1059.001

规则 3：Hive 密钥文件创建

title: Hive Ransomware - Key File Creation Pattern
id: c3d4e5f6-a7b8-9012-cdef-123456789012
status: experimental
description: 检测 Hive 勒索软件在驱动器根目录创建 .key 文件的行为
logsource:
  category: file_event
  product: windows
detection:
  selection:
    TargetFilename|re: '^[A-Z]:\\.*\.key\.[a-zA-Z0-9]+$'
  condition: selection
level: critical
tags:
  - attack.impact
  - attack.t1486

10.2 YARA 规则

rule Hive_Ransomware_Rust_Variant {
    meta:
        description = "检测 Hive Rust 变体勒索软件"
        author = "Threat Intelligence Team"
        date = "2026-06-22"
        reference = "AA22-321A / Microsoft MSTIC"
    strings:
        $s1 = "HOW_TO_DECRYPT.txt" ascii
        $s2 = ".key." ascii
        $s3 = "Curve25519" ascii
        $s4 = "XChaCha20" ascii
        $s5 = "vssadmin delete shadows" ascii
        $s6 = "HiveLeaks" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        3 of ($s*) and $hex1
}

十一、风险评估矩阵

风险维度	评分	说明
加密强度	9/10	ECDH Curve25519 + XChaCha20-Poly1305，当前密码学不可破解
传播能力	7/10	通过附属机构和初始访问经纪人扩展
规避能力	8/10	Rust 变体字符串加密、低检测率、多平台支持
数据泄露威胁	9/10	HiveLeaks 泄露站 + 倒计时施压
基础设施韧性	2/10	已被执法瓦解，基础设施缴获
恢复可能性	3/10	核心成员被捕，组织难以重建
综合风险	已降级	组织已瓦解，但 TTPs 仍被其他组织使用

十二、缓解建议

12.1 即时行动

检查 IOC：对照第九节 IOC 列表扫描环境
修补漏洞：立即修复 CVE-2020-12812（FortiOS）、CVE-2021-31207/34473/34523（ProxyShell）
强制 MFA：所有远程访问（RDP/VPN）启用多因素认证
监控 .key 文件：部署文件监控规则检测 .key. 模式文件创建

12.2 短期加固

关闭不必要端口：移除所有非必要的远程访问服务
修补互联网暴露面：所有面向公众的应用在72小时内打补丁
网络分段：隔离关键资产（数据库、备份系统）
禁用 PowerShell IEX：通过 AppLocker/WDAC 限制内存加载执行

12.3 长期策略

零信任架构：实施网络分段和最小权限原则
备份韧性：离线/不可变备份，定期验证恢复流程
威胁狩猎：定期针对 Hive TTPs 进行主动狩猎
初始访问经纪人监控：监控 Batloader 等初始访问工具的 IOC

十三、核心建议

FBI 渗透案例启示：Hive 的瓦解证明执法机构有能力渗透 RaaS 组织并获取解密密钥。组织应优先向 FBI/IC3 报告勒索事件，而非直接支付赎金
TTPs 持续威胁：尽管 Hive 已瓦解，其攻击手法（ProxyShell、Batloader、rclone 外传）仍被其他勒索组织广泛使用
Go→Rust 趋势：Hive 的语言迁移代表了勒索软件工程的演进方向， defender 需更新检测能力以应对更难逆向的 Rust 变体
医疗卫生优先防护：Hive 明确以医疗为首要目标，医疗机构应实施针对性的勒索软件防护计划

12.4 解密恢复路径

维度	详情
解密器状态	无公开解密工具
FBI 密钥分发	渗透期间向336名受害者提供了300+密钥
Go 变体	理论上 FBI 持有对应密钥，但无公开渠道获取
Rust 变体	ECDH Curve25519 + XChaCha20-Poly1305，密码学强度极高
建议	联系 FBI IC3（ic3.gov）确认是否在密钥分发名单中；优先从备份恢复

注意：Hive 已于2023年1月被执法瓦解。如仍遭遇声称代表 Hive 的攻击，可能是残余附属或冒名组织。建议立即联系 FBI 当地外勤站。

附录

附录 A：信息来源

编号	来源	日期
[1]	CISA/FBI/HHS AA22-321A: #StopRansomware: Hive Ransomware	2022.11.17
[2]	DOJ: U.S. Department of Justice Disrupts Hive Ransomware Variant	2023.01.26
[3]	Microsoft MSTIC: Hive ransomware gets upgrades in Rust	2022.07.05
[4]	Wikipedia: Hive (ransomware)	持续更新
[5]	Reuters: U.S. says it ‘hacked the hackers’ to bring down ransomware gang	2023.01.26
[6]	The Guardian: US authorities seize servers for Hive ransomware group	2023.01.26
[7]	The Verge: FBI says it ‘hacked the hackers’ of a ransomware service	2023.01.27
[8]	Kroll: Hive Ransomware Technical Analysis and Initial Access Discovery	2023.02.02
[9]	Picus Security: CISA Alert AA22-321A: Hive Ransomware Analysis	2022.11
[10]	Logpoint: Hive hunter: The tools and tactics to track down Hive	2023.01.16
[11]	Europol: Hive ransomware group dismantled	2023.01.26
[12]	The Hacker News: Wanted Russian Hacker Linked to Hive and LockBit Arrested	2024.11.30
[13]	The Record: Russian national with alleged Hive ransomware ties arrested in Paris	2023.12.13
[14]	AHA: Hacking the Hackers: The FBI’s Takedown of the Hive Ransomware Gang	2023.03.21
[15]	Malpedia: win.hive	持续更新

附录 B：术语表

术语	定义
RaaS	Ransomware-as-a-Service，勒索软件即服务
ECDH	Elliptic Curve Diffie-Hellman，椭圆曲线迪菲-赫尔曼密钥交换
XChaCha20-Poly1305	扩展 nonce 的 ChaCha20 流加密 + Poly1305 认证标签
Batloader	通过恶意广告分发的初始访问恶意软件
HiveLeaks	Hive 的数据泄露展示站点（Tor）
DEV-0237	Microsoft 追踪代号，后更名为 Pistachio Tempest
ProxyShell	Microsoft Exchange 漏洞利用链（CVE-2021-34473/34523/31207）

附录 C：追踪计划

维度	说明
组织状态	已瓦解（2023.01），持续监控残余活动
成员追踪	关注俄罗斯/乌克兰司法进展
TTPs 监控	Hive 手法被其他组织继承（如 Play），需持续关联分析
解密工具	关注是否有执法机构公开释放更多密钥