Kriminalci koji koriste Hive ransomware napali su više od 1300 firmi širom svijeta, iznuđujući oko 100 miliona dolara od svojih žrtava u posljednjih 18 mjeseci, prema FBI-u.
Dok Hive postoji tek od juna 2021., bio je izuzetno plodan u svom relativno kratkom postojanju i jako mu se svidjela kritična infrastruktura i bolnice, gdje zaključani IT sistemi doslovno mogu biti stvar života i smrti.
U aprilu je američka agencija za zdravstvo i ljudske usluge (HHS) upozorila zdravstvene organizacije na Hive (košnica), koju je HHS opisao kao “iznimno agresivnu” prijetnju zdravstvenom sektoru.
Banda također cilja državne objekte, komunikacije, kritičnu proizvodnju i IT.
U zajedničkom upozorenju sa CISA, HHS, FBI je detaljno opisao Hive pokazatelje kompromitacije i korištenih tehnika i postupaka koje su federalci primijetili nedavno ovog mjeseca.
Iako će početni upad ovisiti o tome koja podružnica Hivea izvodi napad, kriminalci su provalili u mreže koristeći ukradene jednofaktorske RDP prijave, virtualne privatne mreže i druge protokole za udaljenu mrežnu vezu, navode agencije.
Međutim, zlobnici su također zaobišli multifaktorsku autentifikaciju i provalili u FortiOS poslužitelje iskorištavajući CVE-2020-12812, kritičnu grešku zaobilaženja autentifikacije koju je Fortinet popravio prije više od dvije godine.
A ponekad, rečeno nam je, koriste provjerene phishing e-poruke sa zlonamjernim attachmentima, a zatim iskorištavaju bilo kojiu ranjivost Microsoft Exchange providera.
Nakon što su provalili, prevaranti imaju nekoliko metoda koje koriste da izbjegnu otkrivanje. To uključuje identificiranje procesa povezanih sa sigurnosnim kopijama i antivirusnim alatima, kopiranje tih datoteka i zatim prekidanje procesa. Također je poznato da brišu Windows logove događaja i onemogućuju Windows Defender.
Podružnice Hivea “vjerojatno” eksfiltriraju podatke s kombinacijom Rclonea, programa otvorenog koda koji se koristi za premještanje podataka u oblak i servisa Mega.nz, prema FBI-u. I ne ciljaju isključivo na Windows sisteme: Hive programeri također su smislili varijante ransomwarea za Linux, VMware ESXi i FreeBSD.
Nakon što su dobili početni pristup, zaobišli sigurnosne postavke i ukrali osjetljive podatke, kriminalci prelaze na enkripciju. Za to stvaraju datoteku pod nazivom *.key (napomena federalaca: prije je bila *.key.*). Datoteka ključa, koja je potrebna za dešifriranje, kreira se u korijenu izravno i samo na računalu na kojem je stvorena.
Zatim ispuste poruku o otkupnini, “HOW_TO_DECRYPT.txt,” u svaki kompromitirani direktorij s linnkom na “odjel prodaje” koji je dostupan putem TOR preglednika kako bi razgovarali o plaćanju i roku za plaćanje.
IZVOR: The Register