FBI: Hive-Ransomware hat 100 Millionen Dollar erbeutet

B2B Cyber Security ShortNews

Beitrag teilen

Das FBI hat die Machenschaften der Hive-Ransomware untersucht. Dabei wurde festgestellt, dass weltweit über 1.300 Unternehmen geschädigt wurden und etwa 100 Millionen Dollar erpresst wurden. Prominente Opfer in Deutschland waren Media Markt und Saturn. 

Das FBI hat auf der Grundlage seiner Untersuchung der Hive-Ransomware ein Cybersecurity Advisory (CSA) erstellt. Die enthaltenen Hinweise, Erkenntnisse und Veröffentlichungen sind wertvolle Hinweise für Netzwerkverteidiger. Die Erkenntnisse wurden auf der CISA-Projektseite Stop Ransomware veröffentlicht.

Anzeige

Beute von 100 Millionen Dollar

Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI weltweit über 1.300 Unternehmen geschädigt und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten. Im November 2021 startet Hive Cyberangriffe gegen Media Markt und Saturn und erpresste sie. Hive-Ransomware folgt dem Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren und Partner die Ransomware-Angriffe durchführen.

Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.

Klassische Angriffszenarien

Die Methode des anfänglichen Eindringens hängt davon ab, welches Unternehmen das Netzwerk angreift. Hive-Akteure haben sich den ersten Zugang zu Opfernetzwerken verschafft, indem sie sich über das Remote Desktop Protocol (RDP), virtuelle private Netzwerke (VPNs) und andere Protokolle für Remote-Netzwerkverbindungen mit einem einzigen Faktor angemeldet haben.

In einigen Fällen haben Hive-Akteure die Multifaktor-Authentifizierung (MFA) umgangen und sich unter Ausnutzung der CVE-Schwachstelle CVE-2020-12812 Zugriff auf FortiOS-Server verschafft. Diese Schwachstelle ermöglicht es einem böswilligen Cyber-Akteur, sich anzumelden, ohne nach dem zweiten Authentifizierungsfaktor des Benutzers (FortiToken) gefragt zu werden, wenn der Akteur die Groß- und Kleinschreibung des Benutzernamens ändert.

Hive-Akteure haben sich auch einen ersten Zugang zu Opfernetzwerken verschafft, indem sie Phishing-E-Mails mit bösartigen Anhängen verbreiteten und die folgenden Sicherheitslücken in Microsoft Exchange-Servern ausnutzten.

Mehr bei CISA.gov.com

 

Passende Artikel zum Thema

Cybersicherheit: Trends in 2025

2025 wird die Cybersicherheit von Unternehmen durch komplexere Bedrohungen gefährdet sein. Zwei Experten eines führenden Cybersicherheits-Unternehmens stellen ihre Prognosen vor ➡ Weiterlesen

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen