FBI は、Hive ランサムウェアの陰謀を調査しました。 世界中で 1.300 社以上の企業が被害を受け、約 100 億ドルがゆすり取られたことが判明しました。 Media Markt と Saturn は、ドイツで顕著な犠牲者でした。
FBI は、Hive ランサムウェアの調査に基づいて Cybersecurity Advisory (CSA) を作成しました。 含まれているヒント、洞察、出版物は、ネットワーク防御者にとって貴重なヒントです。 調査結果は CISA プロジェクト ページで公開されました ランサムウェアを阻止 veröffentlicht。
100億ドルの戦利品
FBI によると、2022 年 1.300 月の時点で、Hive ランサムウェアの攻撃者は世界中で 100 社以上の企業に損害を与え、約 2021 億ドルの身代金を受け取っています。 XNUMX 年 XNUMX 月、Hive は Media Markt と Saturn に対してサイバー攻撃を開始し、脅迫しました。 Hive ランサムウェアは、開発者がマルウェアを作成、維持、更新し、パートナーがランサムウェア攻撃を実行するサービスとしてのランサムウェア (RaaS) モデルに従います。
2021 年 2022 月から少なくとも XNUMX 年 XNUMX 月にかけて、攻撃者は Hive ランサムウェアを展開し、政府施設、通信施設、重要な製造施設、情報技術、特に医療および社会サービスなど、幅広い企業や重要インフラを標的にしました。
古典的な攻撃シナリオ
最初の侵入方法は、ネットワークを攻撃している企業によって異なります. Hive アクターは、リモート デスクトップ プロトコル (RDP)、仮想プライベート ネットワーク (VPN)、およびその他の単一要素リモート ネットワーク接続プロトコルを介してログインすることにより、被害者のネットワークへの初期アクセスを取得します。
場合によっては、Hive アクターが多要素認証 (MFA) をバイパスし、CVE-2020-12812 の脆弱性を悪用して FortiOS サーバーへのアクセスを取得しました。 この脆弱性により、攻撃者がユーザー名の大文字と小文字を変更した場合、悪意のあるサイバー アクターは、ユーザーの認証の XNUMX 番目の要素 (FortiToken) を求められることなくログインできます。
また、Hive アクターは、悪意のある添付ファイルを含むフィッシング メールを配布し、Microsoft Exchange サーバーの次の脆弱性を悪用して、被害者のネットワークへの初期アクセスを取得しました。
詳細は CISA.gov.com をご覧ください