FBI, Hive fidye yazılımının entrikalarını araştırdı. Dünya çapında 1.300'den fazla şirketin zarar gördüğü ve yaklaşık 100 milyon doların gasp edildiği tespit edildi. Media Markt ve Saturn, Almanya'daki önde gelen kurbanlardı.
FBI, Hive fidye yazılımına yönelik soruşturmasına dayanarak bir Siber Güvenlik Danışma Belgesi (CSA) oluşturdu. Dahil edilen ipuçları, içgörüler ve yayınlar, ağ savunucuları için değerli ipuçlarıdır. Bulgular CISA proje sayfasında yayınlandı Fidye yazılımını durdurun yayınlandı.
100 milyon dolarlık ganimet
FBI'a göre, Kasım 2022 itibarıyla Hive fidye yazılımı aktörleri dünya çapında 1.300'den fazla şirkete zarar verdi ve yaklaşık 100 milyon dolar fidye ödemesi aldı. Hive, Kasım 2021'de Media Markt ve Saturn'e siber saldırılar düzenleyerek onlara şantaj yaptı. Hive fidye yazılımı, geliştiricilerin kötü amaçlı yazılımı oluşturduğu, sürdürdüğü ve güncellediği ve iş ortaklarının fidye yazılımı saldırılarını gerçekleştirdiği hizmet olarak fidye yazılımı (RaaS) modelini izler.
Haziran 2021'den en az Kasım 2022'ye kadar tehdit aktörleri, devlet tesisleri, iletişim tesisleri, kritik üretim tesisleri, bilgi teknolojisi ve en önemlisi sağlık ve sosyal hizmetler dahil olmak üzere çok çeşitli işletmeleri ve kritik altyapıyı hedeflemek için Hive fidye yazılımını dağıttı.
Klasik saldırı senaryoları
İlk penetrasyon yöntemi, hangi şirketin ağa saldırdığına bağlıdır.. Hive aktörleri, Uzak Masaüstü Protokolü (RDP), sanal özel ağlar (VPN'ler) ve diğer tek faktörlü uzak ağ bağlantısı protokolleri aracılığıyla oturum açarak kurban ağlarına ilk erişimi elde etti.
Bazı durumlarda Hive aktörleri, CVE-2020-12812 güvenlik açığından yararlanarak çok faktörlü kimlik doğrulamayı (MFA) atlamış ve FortiOS sunucularına erişim elde etmiştir. Bu güvenlik açığı, kötü niyetli bir siber aktörün, kullanıcı adının büyük/küçük harf durumunu değiştirmesi durumunda kullanıcının ikinci kimlik doğrulama faktörü (FortiToken) sorulmadan oturum açmasına olanak tanır.
Hive aktörleri ayrıca, kötü amaçlı ekleri olan kimlik avı e-postalarını dağıtarak ve Microsoft Exchange sunucularındaki aşağıdaki güvenlik açıklarından yararlanarak kurban ağlarına ilk erişimi elde etti.
Daha fazlası CISA.gov.com'da