L'FBI ha indagato sulle macchinazioni del ransomware Hive. È stato riscontrato che più di 1.300 aziende in tutto il mondo sono state danneggiate e circa 100 milioni di dollari sono stati estorti. Media Markt e Saturn sono state vittime importanti in Germania.
L'FBI ha creato un Cybersecurity Advisory (CSA) basato sulla sua indagine sul ransomware Hive. I suggerimenti, gli approfondimenti e le pubblicazioni inclusi sono suggerimenti preziosi per i difensori della rete. I risultati sono stati pubblicati sulla pagina del progetto CISA Ferma il ransomware pubblicato.
Bottino di $ 100 milioni
A novembre 2022, secondo l'FBI, gli attori del ransomware Hive hanno danneggiato oltre 1.300 aziende in tutto il mondo e ricevuto circa 100 milioni di dollari in pagamenti di riscatto. Nel novembre 2021, Hive ha lanciato attacchi informatici contro Media Markt e Saturn e li ha ricattati. Hive ransomware segue il modello ransomware-as-a-service (RaaS), in cui gli sviluppatori creano, mantengono e aggiornano il malware e i partner eseguono gli attacchi ransomware.
Da giugno 2021 fino almeno a novembre 2022, gli attori delle minacce hanno distribuito il ransomware Hive per prendere di mira un'ampia gamma di aziende e infrastrutture critiche, tra cui strutture governative, strutture di comunicazione, strutture di produzione critiche, tecnologia dell'informazione e, in particolare, assistenza sanitaria e servizi sociali.
Scenari di attacco classici
Il metodo di penetrazione iniziale dipende da quale azienda sta attaccando la rete. Gli attori di Hive hanno ottenuto l'accesso iniziale alle reti delle vittime accedendo tramite Remote Desktop Protocol (RDP), reti private virtuali (VPN) e altri protocolli di connessione di rete remota a fattore singolo.
In alcuni casi, gli attori Hive hanno aggirato l'autenticazione a più fattori (MFA) e ottenuto l'accesso ai server FortiOS sfruttando la vulnerabilità CVE-2020-12812. Questa vulnerabilità consente a un attore informatico malintenzionato di accedere senza che venga richiesto il secondo fattore di autenticazione dell'utente (FortiToken) se l'attore cambia maiuscole e minuscole del nome utente.
Gli attori di Hive hanno anche ottenuto l'accesso iniziale alle reti delle vittime distribuendo e-mail di phishing con allegati dannosi e sfruttando le seguenti vulnerabilità nei server Microsoft Exchange.
Maggiori informazioni su CISA.gov.com