Hive勒索軟件騙子向1300名全球受害者勒索1億美元

據美國聯邦調查局(FBI)稱，Hive勒索軟件犯罪分子襲擊了全球1300多家公司，在過去18個月里從受害者那里勒索了約1億美元。 

盡管Hive自2021年6月才成立，但這家勒索軟件即服務運營商在相對較短的時間內一直非常活躍，并對關鍵的基礎設施和醫院產生了濃厚的興趣，在這些地方，鎖定的IT系統可以說是生死攸關的問題。

今年4月，美國衛生與人類服務(HHS)機構就Hive向醫療保健機構發出警告，HHS將其描述為對衛生部門的“異常積極”的威脅。 

該團伙還瞄準政府設施、通信、關鍵制造業和IT。 

在與CISA和HHS的聯合咨詢中，聯邦調查局本周詳細說明了妥協的指標以及聯邦調查局本月觀察到的常用技術和程序。 

據這些機構稱，雖然最初的入侵將取決于哪個Hive附屬公司正在進行攻擊，但犯罪分子已經使用竊取的單因素RDP登錄、虛擬專用網絡和其他遠程網絡連接協議闖入網絡。 

然而，這些惡棍還通過利用CVE-2020-12812繞過了多因素身份驗證，闖入了FortiOS服務器，這是Fortinet兩年多前修復的一個關鍵的身份驗證繞過漏洞。 

我們被告知，有時他們使用帶有惡意附件的屢試不爽的網絡釣魚郵件，然后利用任意數量的Microsoft Exchange server漏洞。 

一旦他們闖入，騙子們有幾種方法來逃避偵查。這包括識別與備份和防病毒工具相關的進程，復制這些文件，然后終止這些進程。

他們還會刪除Windows事件日志并禁用Windows Defender。 

根據聯邦調查局的說法，Hive子公司“可能”通過Rclone和云存儲服務Mega.nz的組合來泄露數據，Rclone是一個用于將數據移動到云存儲的開源程序。

它們并不僅僅針對Windows系統:Hive開發者還為Linux、VMware ESXi和FreeBSD開發了勒索軟件變種。 

在他們獲得初始訪問權限、繞過安全功能并竊取敏感信息后，犯罪分子會轉向加密。

為此，他們創建了一個名為*.key的文件(聯邦政府的說明:以前是*.key.*)。

解密所需的密鑰文件直接在根目錄下創建，并且只在創建它的機器上創建。

然后，他們在每個被入侵的目錄中放入一個勒索信，文件名為：

“HOW_TO_DECRYPT.txt”，其中有一個通過TOR瀏覽器可以訪問的“銷售部門”的鏈接，可以與一個樂于助人的騙子聊天，討論付款和付款期限。

該團伙還威脅說，如果該組織不支付贖金，就將竊取的數據公布在其HiveLeaks網站上。

眾所周知，Hive 攻擊會再次感染受害者組織的網絡，這些受害者組織在沒有支付贖金的情況下恢復了他們的網絡，”聯邦調查局警告說。

同樣值得注意的是，支付贖金并不能保證一個組織不會受到Hive或其他勒索軟件運營商的第二次甚至第三次攻擊。 

例證：據Sophos威脅研究人員稱，今年5月，一家未具名的公司遭到了Lockbit勒索軟件的攻擊。

不到兩個小時后，一個Hive勒索軟件分支機構攻擊了同一家公司。兩周后，該組織第三次受到BlackCat勒索軟件集團的攻擊。 

換句話說:小偷之間真的沒有信譽可言。