ФБР розслідувало махінації з програмою-вимагачем Hive. З’ясувалося, що понад 1.300 компаній у всьому світі постраждали та вимагали близько 100 мільйонів доларів. Media Markt і Saturn стали головними жертвами в Німеччині.
ФБР створило Консультацію з кібербезпеки (CSA) на основі розслідування програми-вимагача Hive. Включені підказки, ідеї та публікації є цінними порадами для захисників мережі. Висновки були опубліковані на сторінці проекту CISA Зупиніть програми-вимагачі опублікований.
Здобич у 100 мільйонів доларів
За даними ФБР, станом на листопад 2022 року програми-вимагачі Hive завдали шкоди понад 1.300 компаніям у всьому світі та отримали близько 100 мільйонів доларів США у вигляді викупу. У листопаді 2021 року Hive здійснив кібератаки на Media Markt і Saturn і шантажував їх. Програмне забезпечення-вимагач Hive дотримується моделі програм-вимагачів як послуги (RaaS), де розробники створюють, підтримують і оновлюють шкідливі програми, а партнери здійснюють атаки програм-вимагачів.
З червня 2021 року по принаймні листопад 2022 року зловмисники розгорнули програмне забезпечення-вимагач Hive, щоб націлити на широкий спектр підприємств і критично важливу інфраструктуру, включаючи державні установи, засоби зв’язку, критично важливі виробничі потужності, інформаційні технології та, особливо, медичні та соціальні служби.
Класичні сценарії атак
Спосіб початкового проникнення залежить від того, яка компанія атакує мережу. Актори Hive отримали початковий доступ до мереж-жертв, увійшовши через протокол віддаленого робочого столу (RDP), віртуальні приватні мережі (VPN) та інші однофакторні протоколи підключення до віддаленої мережі.
У деяких випадках актори Hive обходили багатофакторну автентифікацію (MFA) і отримували доступ до серверів FortiOS, використовуючи вразливість CVE-2020-12812. Ця вразливість дозволяє зловмиснику входити в систему без запиту на другий фактор автентифікації користувача (FortiToken), якщо актор змінює регістр імені користувача.
Актори Hive також отримали початковий доступ до мереж жертв, розповсюджуючи фішингові електронні листи зі зловмисними вкладеннями та використовуючи наведені нижче вразливості на серверах Microsoft Exchange.
Більше на CISA.gov.com