Das FBI hat die Machenschaften der Hive-Ransomware untersucht. Dabei wurde festgestellt, dass weltweit über 1.300 Unternehmen geschädigt wurden und etwa 100 Millionen Dollar erpresst wurden. Prominente Opfer in Deutschland waren Media Markt und Saturn.
Das FBI hat auf der Grundlage seiner Untersuchung der Hive-Ransomware ein Cybersecurity Advisory (CSA) erstellt. Die enthaltenen Hinweise, Erkenntnisse und Veröffentlichungen sind wertvolle Hinweise für Netzwerkverteidiger. Die Erkenntnisse wurden auf der CISA-Projektseite Stop Ransomware veröffentlicht.
Beute von 100 Millionen Dollar
Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI weltweit über 1.300 Unternehmen geschädigt und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten. Im November 2021 startet Hive Cyberangriffe gegen Media Markt und Saturn und erpresste sie. Hive-Ransomware folgt dem Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren und Partner die Ransomware-Angriffe durchführen.
Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.
Klassische Angriffszenarien
Die Methode des anfänglichen Eindringens hängt davon ab, welches Unternehmen das Netzwerk angreift. Hive-Akteure haben sich den ersten Zugang zu Opfernetzwerken verschafft, indem sie sich über das Remote Desktop Protocol (RDP), virtuelle private Netzwerke (VPNs) und andere Protokolle für Remote-Netzwerkverbindungen mit einem einzigen Faktor angemeldet haben.
In einigen Fällen haben Hive-Akteure die Multifaktor-Authentifizierung (MFA) umgangen und sich unter Ausnutzung der CVE-Schwachstelle CVE-2020-12812 Zugriff auf FortiOS-Server verschafft. Diese Schwachstelle ermöglicht es einem böswilligen Cyber-Akteur, sich anzumelden, ohne nach dem zweiten Authentifizierungsfaktor des Benutzers (FortiToken) gefragt zu werden, wenn der Akteur die Groß- und Kleinschreibung des Benutzernamens ändert.
Hive-Akteure haben sich auch einen ersten Zugang zu Opfernetzwerken verschafft, indem sie Phishing-E-Mails mit bösartigen Anhängen verbreiteten und die folgenden Sicherheitslücken in Microsoft Exchange-Servern ausnutzten.
Mehr bei CISA.gov.com