FBI: Hive-Ransomware hat 100 Millionen Dollar erbeutet

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Das FBI hat die Machenschaften der Hive-Ransomware untersucht. Dabei wurde festgestellt, dass weltweit über 1.300 Unternehmen geschädigt wurden und etwa 100 Millionen Dollar erpresst wurden. Prominente Opfer in Deutschland waren Media Markt und Saturn. 

Das FBI hat auf der Grundlage seiner Untersuchung der Hive-Ransomware ein Cybersecurity Advisory (CSA) erstellt. Die enthaltenen Hinweise, Erkenntnisse und Veröffentlichungen sind wertvolle Hinweise für Netzwerkverteidiger. Die Erkenntnisse wurden auf der CISA-Projektseite Stop Ransomware veröffentlicht.

Anzeige

Beute von 100 Millionen Dollar

Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI weltweit über 1.300 Unternehmen geschädigt und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten. Im November 2021 startet Hive Cyberangriffe gegen Media Markt und Saturn und erpresste sie. Hive-Ransomware folgt dem Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren und Partner die Ransomware-Angriffe durchführen.

Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.

Anzeige
WatchGuard_Banner_0922

Klassische Angriffszenarien

Die Methode des anfänglichen Eindringens hängt davon ab, welches Unternehmen das Netzwerk angreift. Hive-Akteure haben sich den ersten Zugang zu Opfernetzwerken verschafft, indem sie sich über das Remote Desktop Protocol (RDP), virtuelle private Netzwerke (VPNs) und andere Protokolle für Remote-Netzwerkverbindungen mit einem einzigen Faktor angemeldet haben.

In einigen Fällen haben Hive-Akteure die Multifaktor-Authentifizierung (MFA) umgangen und sich unter Ausnutzung der CVE-Schwachstelle CVE-2020-12812 Zugriff auf FortiOS-Server verschafft. Diese Schwachstelle ermöglicht es einem böswilligen Cyber-Akteur, sich anzumelden, ohne nach dem zweiten Authentifizierungsfaktor des Benutzers (FortiToken) gefragt zu werden, wenn der Akteur die Groß- und Kleinschreibung des Benutzernamens ändert.

Hive-Akteure haben sich auch einen ersten Zugang zu Opfernetzwerken verschafft, indem sie Phishing-E-Mails mit bösartigen Anhängen verbreiteten und die folgenden Sicherheitslücken in Microsoft Exchange-Servern ausnutzten.

Mehr bei CISA.gov.com

 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen