L'FBI mette in guardia contro i nuovi attacchi di ransomware Hive
Il Federal Bureau of Investigation degli Stati Uniti ha pubblicato un avviso formale relativo all'attività del gruppo ransomware Hive. L'allarme è stato probabilmente provocato dall'attacco ransomware Hive al Memorial Health System dell'Ohio che ha fatto notizia a metà agosto.
L'FBI spiega che Hive è un attore di minacce ransomware emerso nel giugno 2021 e si infiltra nei sistemi delle sue vittime utilizzando una varietà di strumenti e vettori di attacco, comprese le e-mail di phishing che contengono malware che consentono l'acquisizione di RDP.
La banda dell'Alveare ruba record e informazioni dalle sue vittime e crittografa anche i file. Questo è diventato lo standard per tutte le operazioni di ransomware, nel tentativo sia di ricattare la vittima con minacce di fuga di dati rubati che di spegnere i sistemi crittografati.
Alcuni attori delle minacce si sono persino evoluti oltre questo approccio a doppia minaccia e hanno iniziato a inviare e-mail ai clienti delle vittime, annunciando i loro attacchi riusciti. Ovviamente, questa non è una tattica applicabile quando si tratta di attaccare le reti ospedaliere e sanitarie.
Il ransomware Hive crittografa i file con la sua omonima estensione .hive e prima cerca, quindi arresta i processi relativi agli strumenti anti-malware e di backup per garantire il massimo danno. Il ransomware tenta anche di eliminare le copie del volume shadow, se riesce a trovarne. Il contagocce iniziale del ransomware è un file che si presenta come winlo.exe ed è osservato in C:\Windows\SysWOW64.
Una volta completata la crittografia, il ransomware indirizza le vittime a una sessione di live chat ospitata sulla rete Tor. Curiosamente, l'FBI ha persino affermato che alcune vittime dell'alveare sono state chiamate al telefono dagli attori delle minacce per negoziare il riscatto.
Secondo i ricercatori, il ransomware Hive è stato finora distribuito in quasi 30 attacchi. L'attacco alle reti ospedaliere in West Virginia e Ohio ha causato la cancellazione di interventi chirurgici urgenti il giorno della violazione. A causa della violazione della sicurezza, i pazienti hanno dovuto essere temporaneamente reindirizzati ad altri ospedali, il che può potenzialmente rappresentare un'enorme minaccia per la salute dei casi di emergenza.
Quest'ultimo attacco mette in evidenza i pericoli estremi di reti e sistemi cruciali esposti agli attacchi. Quando il ransomware colpisce un'azienda, le conseguenze possono essere molto spiacevoli e perdite finanziarie - significative, ma in caso di attacchi ransomware alle reti ospedaliere e sanitarie, c'è un reale pericolo di perdita di vite umane.
