Die Hive-Ransomware-Bande droht mit Online-Datenlecks
Eine neue Ransomware-Bande hat mit ihren Angriffen auf eine große Immobiliensoftwarefirma Schlagzeilen gemacht. Nach der Bande PYSA Ransomware und DarkSide Ransomware müssen sich Unternehmen weltweit um den neuesten Namen auf diesem Gebiet, die Hive Ransomware, sorgen. Zunächst wurde nur ein Opfer der Hive-Ransomware identifiziert, doch kürzlich veröffentlichte die Website der Kriminellen Details über eine ebenfalls gehackte Anwaltskanzlei.
Genau wie andere moderne Hightech-Ransomware-Banden stehlen auch die Betreiber von Hive die Daten des Opfers, bevor sie sie verschlüsseln. Dann drohen sie ihren Opfern, dass sie eine Lösegeldgebühr zahlen müssen, um einen Entschlüsseler zu erhalten und die Veröffentlichung ihrer Dateien im Internet zu verhindern. Leider scheinen die Absichten der Betreiber von Hive Ransomware ernst zu sein. Sie haben bereits eine Website namens HiveLeaks eingerichtet, die einige der Daten enthält, die aus dem Netzwerk des Softwareentwicklungsunternehmens gestohlen wurden, dessen Sicherheit verletzt wurde.
Bisher nur zwei Opfer der Hive-Ransomware identifiziert
Es ist nicht ungewöhnlich, dass hochkarätige Ransomware-Banden Ressourcen und Infrastruktur teilen, aber es gibt immer noch keine Verbindung zwischen der Hive-Ransomware-Bande und einem der anderen großen Namen auf diesem Gebiet. Das erste Opfer der Hive-Ransomware wurde am 23. Juni aufgelistet, aber ein zweites wurde am 24. Juni angekündigt. Angeblich werden die Akten beider Opfer am 30. Juni freigegeben, wenn sie nicht zahlen.
Die Hive-Ransomware-Kriminellen haben auch Beispieldateien hochgeladen, deren Inhalt passwortgeschützt ist – es gibt keine Möglichkeit zu überprüfen, ob die Daten den kompromittierten Opfern gehören oder nicht. Den Dateinamen nach zu urteilen, ist dies jedoch wahrscheinlich der Fall.
Angeblich werden die Dateien, die die Hive Ransomware sperrt, umbenannt, indem die Erweiterung „.hive“ hinzugefügt wird. Außerdem wird eine Lösegeldnachricht mit dem Titel "HOW_TO_DECRYPT.txt" gelöscht. Das Dokument enthält einen Link zur HiveLeaks TOR-basierten Website sowie einen eindeutigen Login und ein Passwort für das Opfer. Durch die Anmeldung können Opfer Details zum Angriff, die Lösegeldsumme und mehr einsehen.
Es scheint, dass die Hive Gang noch keine Zahlungen erhalten hat. Selbst wenn die Opfer ihre Dateien durch ein Backup wiederherstellen können, ist es leider immer noch unmöglich zu verhindern, dass die gestohlenen Daten online durchgesickert sind.