FBI 對 Hive 勒索軟件的操作發出了快速警報

聯邦調查局 (FBI) 已發布關于Hive 勒索軟件攻擊的缺陷警報，其中包括與該團伙的活動相關的技術細節和妥協指標。

最近，該組織襲擊了被迫暫停部分業務的紀念衛生系統。

Hive 勒索軟件自 2021 年 6 月以來一直活躍，它實施勒索軟件即服務模型并采用多種策略、技術和程序 (TTP)。政府專家表示，該組織使用多種機制來破壞受害者的網絡，包括使用帶有惡意附件的網絡釣魚電子郵件來獲取訪問權限和遠程桌面協議 (RDP) 在網絡上橫向移動一次。

為了促進文件加密，勒索軟件會尋找與備份、防病毒/反間諜軟件和文件復制相關的進程并終止它們。Hive 勒索軟件將 .hive 擴展名添加到加密文件的文件名中。然后勒索軟件將 hive.bat 腳本放入目錄中，在加密過程完成后執行清理之前強制執行一秒的執行超時延遲。惡意軟件會刪除 Hive 可執行文件和 hive.bat 腳本。第二個文件 shadow.bat 被放入該目錄中，勒索軟件操作員使用它來刪除卷影副本，并在操作完成后刪除 shadow.bat 文件本身。

“在加密過程中，加密文件被重命名為 *.key.hive 或 *.key.* 的雙重最終擴展名。贖金記錄“HOW_TO_DECRYPT.txt”被放入每個受影響的目錄并說明密鑰。文件不能被修改、重命名或刪除，否則加密的文件將無法恢復。” 閱讀 FBI 的警報。“該說明包含一個“銷售部門”鏈接，可通過 TOR 瀏覽器訪問，使受害者能夠通過實時聊天聯系演員。一些受害者報告說，他們接到了 Hive 演員的電話，要求他們支付文件費用。”

付款的截止日期為 2 到 6 天，但在某些情況下，由于與受害者正在進行談判，威脅行為者會延長付款期限。

閃光警報提供了入侵指標 (IoC)，包括該團伙使用的泄漏站點 (http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion) 的洋蔥地址。

該組織還依賴多種文件共享服務，包括 Anonfiles、MEGA、Send.Exploit、Ufile 或 SendSpace。

幾天前，聯邦調查局 (FBI) 發布了另一個關于名為 OnePercent Group 的威脅行為者的快速警報，該組織至少自 2020 年 11 月以來一直在積極針對美國組織進行勒索軟件攻擊。