реклама
Две недели назад администрация Байдена созвала второй Международный саммит по борьбе с программами-вымогателями, предупредив, что атаки программ-вымогателей опережают усилия по их предотвращению. Теперь ФБР, Агентство по кибербезопасности и безопасности инфраструктуры и Министерство здравоохранения и социальных служб выпустили совместный консультативный совет по кибербезопасности, предупреждающий сетевых защитников и организации об опасности, которую представляет банда вымогателей Hive. Согласно бюллетеню, банда нанесла удар по более чем 1300 компаниям и собрала около 100 миллионов долларов в виде выкупа со своих жертв.
реклама
Как и большинство других групп вымогателей, Hive работает в соответствии с моделью "программы-вымогатели как услуга" (RaaS), при этом разработчики предоставляют собственные проприетарные программы-вымогатели аффилированным лицам, которые проводят атаки программ-вымогателей. Затем разработчики берут часть выкупа, сделанного жертвами. Банда вымогателей Hive проявляет особую настойчивость, пытаясь получить выкуп от несговорчивых организаций. В бюллетене говорится, что "хакеры Hive повторно заражают - либо программой-вымогателем Hive, либо другим вариантом программы-вымогателя - сети организаций-жертв, которые восстановили свою сеть без выплаты выкупа".
В бюллетене также отмечается, что Hive не использует единый метод первоначального вторжения, поскольку различные аффилированные лица банды используют разные тактики, методы и процедуры. Таким образом, организации, которым удалось устранить одну или две уязвимости, которые, как известно, используются аффилированными лицами Hive, могут по-прежнему быть уязвимы для атак со стороны других аффилированных лиц. Было обнаружено, что филиалы Hive используют самые разные методы для получения несанкционированного доступа к сетям жертв, часто начиная с фишинговых электронных писем, которые переходят в несанкционированный доступ по протоколу удаленного рабочего стола (RDP) или к виртуальной частной сети (VPN). Некоторые филиалы Hive даже использовали критические уязвимости безопасности, чтобы обойти многофакторную аутентификацию (MFA).
Как и другие группы RaaS, разработчики Hive также поддерживают специальный сайт утечки (DLS) под названием "HiveLeaks", где группа публикует информацию о некоторых своих атаках с целью двойного вымогательства. При двойном вымогательстве банда вымогателей не только шифрует файлы на компьютерах жертв, делая их недоступными, но и извлекает собственную копию указанных файлов. Затем банда угрожает опубликовать украденные файлы в своей DLS для всех, если жертва не заплатит выкуп.
Hive также управляет сайтом, который существует специально для облегчения общения между жертвами и бандой вымогателей. При шифровании систем жертв программа-вымогатель Hive оставляет после себя записку с требованием выкупа, которая включает адрес .onion для этого сайта, а также учетные данные для входа, уникальные для каждой атаки. В примечании читателям предлагается использовать браузер Tor для посещения сайта и начала переговоров с "отделом продаж" Hive. В записке также содержится предупреждение жертвам не обращаться в правоохранительные органы и не нанимать службы восстановления программ-вымогателей, заявляя, что правоохранительные органы не позволят жертвам платить за восстановление их файлов и что компании по восстановлению обычно терпят неудачу в своих переговорах.
Рекомендуется ряд мер, которые организации могут принять, чтобы снизить риск стать следующей жертвой программы-вымогателя Hive. Эти рекомендации включают в себя применение исправлений безопасности как можно скорее, реализацию MFA, устойчивой к фишингу, поддержание автономных зашифрованных резервных копий и мониторинг журналов на наличие индикаторов компрометации (IOC) учитывая конфиденциальность данных клиентов, хранящихся в их системах.
В бюллетене также выделяются следующие уязвимости, которые, как известно, используют филиалы Hive, даже несмотря на доступные исправления:
Уязвимость Описание
CVE-2020-12812 Уязвимость неправильной аутентификации в SSL VPN в FortiOS 6.4.0, 6.2.0 до 6.2.3, 6.0.9 и ниже.
CVE-2021-31207 Уязвимость обхода функции безопасности Microsoft Exchange Server
CVE-2021-34473 Уязвимость сервера Microsoft Exchange, связанная с удаленным выполнением кода
CVE-2021-34523 Уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав