O FBI investigou as maquinações do ransomware Hive. Verificou-se que mais de 1.300 empresas em todo o mundo foram prejudicadas e cerca de 100 milhões de dólares foram extorquidos. Media Markt e Saturn foram vítimas proeminentes na Alemanha.
O FBI criou um Cybersecurity Advisory (CSA) com base em sua investigação sobre o ransomware Hive. As dicas, percepções e publicações incluídas são dicas valiosas para os defensores da rede. Os resultados foram publicados na página do projeto CISA Pare o ransomware publicado.
Roubo de US$ 100 milhões
Em novembro de 2022, os agentes do ransomware Hive prejudicaram mais de 1.300 empresas em todo o mundo e receberam cerca de US$ 100 milhões em pagamentos de resgate, de acordo com o FBI. Em novembro de 2021, Hive lançou ataques cibernéticos contra Media Markt e Saturn e os chantageou. O ransomware Hive segue o modelo de ransomware como serviço (RaaS), no qual os desenvolvedores criam, mantêm e atualizam o malware e os parceiros executam os ataques de ransomware.
De junho de 2021 até pelo menos novembro de 2022, os agentes de ameaças implantaram o ransomware Hive para atingir uma ampla gama de empresas e infraestrutura crítica, incluindo instalações governamentais, instalações de comunicação, instalações críticas de fabricação, tecnologia da informação e, principalmente, assistência médica e serviços sociais.
Cenários clássicos de ataque
O método de penetração inicial depende de qual empresa está atacando a rede. Os atores do Hive obtiveram acesso inicial às redes das vítimas fazendo login via Remote Desktop Protocol (RDP), redes virtuais privadas (VPNs) e outros protocolos de conexão de rede remota de fator único.
Em alguns casos, os atores do Hive ignoraram a autenticação multifator (MFA) e obtiveram acesso aos servidores FortiOS explorando a vulnerabilidade CVE-2020-12812. Essa vulnerabilidade permite que um ator cibernético mal-intencionado faça login sem ser solicitado a fornecer o segundo fator de autenticação do usuário (FortiToken) se o ator alterar a capitalização do nome de usuário.
Os atores do Hive também obtiveram acesso inicial às redes das vítimas, distribuindo e-mails de phishing com anexos maliciosos e explorando as seguintes vulnerabilidades nos servidores do Microsoft Exchange.
Mais em CISA.gov.com