Платим блогерам
Блоги
Niko4123
ФБР предупреждают: не станьте следующей жертвой хакеров-вымогателей.

реклама

Две недели назад администрация Байдена созвала второй Международный саммит по борьбе с программами-вымогателями, предупредив, что атаки программ-вымогателей опережают усилия по их предотвращению. Теперь ФБР, Агентство по кибербезопасности и безопасности инфраструктуры и Министерство здравоохранения и социальных служб выпустили совместный консультативный совет по кибербезопасности, предупреждающий сетевых защитников и организации об опасности, которую представляет банда вымогателей Hive. Согласно бюллетеню, банда нанесла удар по более чем 1300 компаниям и собрала около 100 миллионов долларов в виде выкупа со своих жертв.

реклама

Как и большинство других групп вымогателей, Hive работает в соответствии с моделью "программы-вымогатели как услуга" (RaaS), при этом разработчики предоставляют собственные проприетарные программы-вымогатели аффилированным лицам, которые проводят атаки программ-вымогателей. Затем разработчики берут часть выкупа, сделанного жертвами. Банда вымогателей Hive проявляет особую настойчивость, пытаясь получить выкуп от несговорчивых организаций. В бюллетене говорится, что "хакеры Hive повторно заражают - либо программой-вымогателем Hive, либо другим вариантом программы-вымогателя - сети организаций-жертв, которые восстановили свою сеть без выплаты выкупа".

В бюллетене также отмечается, что Hive не использует единый метод первоначального вторжения, поскольку различные аффилированные лица банды используют разные тактики, методы и процедуры. Таким образом, организации, которым удалось устранить одну или две уязвимости, которые, как известно, используются аффилированными лицами Hive, могут по-прежнему быть уязвимы для атак со стороны других аффилированных лиц. Было обнаружено, что филиалы Hive используют самые разные методы для получения несанкционированного доступа к сетям жертв, часто начиная с фишинговых электронных писем, которые переходят в несанкционированный доступ по протоколу удаленного рабочего стола (RDP) или к виртуальной частной сети (VPN). Некоторые филиалы Hive даже использовали критические уязвимости безопасности, чтобы обойти многофакторную аутентификацию (MFA).

Как и другие группы RaaS, разработчики Hive также поддерживают специальный сайт утечки (DLS) под названием "HiveLeaks", где группа публикует информацию о некоторых своих атаках с целью двойного вымогательства. При двойном вымогательстве банда вымогателей не только шифрует файлы на компьютерах жертв, делая их недоступными, но и извлекает собственную копию указанных файлов. Затем банда угрожает опубликовать украденные файлы в своей DLS для всех, если жертва не заплатит выкуп.

Hive также управляет сайтом, который существует специально для облегчения общения между жертвами и бандой вымогателей. При шифровании систем жертв программа-вымогатель Hive оставляет после себя записку с требованием выкупа, которая включает адрес .onion для этого сайта, а также учетные данные для входа, уникальные для каждой атаки. В примечании читателям предлагается использовать браузер Tor для посещения сайта и начала переговоров с "отделом продаж" Hive. В записке также содержится предупреждение жертвам не обращаться в правоохранительные органы и не нанимать службы восстановления программ-вымогателей, заявляя, что правоохранительные органы не позволят жертвам платить за восстановление их файлов и что компании по восстановлению обычно терпят неудачу в своих переговорах.

Рекомендуется ряд мер, которые организации могут принять, чтобы снизить риск стать следующей жертвой программы-вымогателя Hive. Эти рекомендации включают в себя применение исправлений безопасности как можно скорее, реализацию MFA, устойчивой к фишингу, поддержание автономных зашифрованных резервных копий и мониторинг журналов на наличие индикаторов компрометации (IOC) учитывая конфиденциальность данных клиентов, хранящихся в их системах.

В бюллетене также выделяются следующие уязвимости, которые, как известно, используют филиалы Hive, даже несмотря на доступные исправления:

Уязвимость                      Описание

CVE-2020-12812            Уязвимость неправильной аутентификации в SSL VPN в FortiOS 6.4.0, 6.2.0 до 6.2.3,                                           6.0.9 и ниже.

CVE-2021-31207            Уязвимость обхода функции безопасности Microsoft Exchange Server

CVE-2021-34473            Уязвимость сервера Microsoft Exchange, связанная с удаленным выполнением кода

CVE-2021-34523            Уязвимость Microsoft Exchange Server, связанная с несанкционированным                                                             получением  прав


+
Написать комментарий (0)

Популярные новости

Сейчас обсуждают