FBI waarschuwt voor nieuwe Hive Ransomware-aanvallen
Het Amerikaanse Federal Bureau of Investigation heeft een formele waarschuwing vrijgegeven over de activiteit van de Hive ransomware-groep. De waarschuwing werd waarschijnlijk veroorzaakt door de Hive-ransomware-aanval op het Memorial Health System in Ohio, die medio augustus de krantenkoppen haalde.
De FBI legt uit dat Hive een ransomware-bedreigingsacteur is die in juni 2021 in het landschap opdook en de systemen van zijn slachtoffers infiltreert met behulp van een verscheidenheid aan tools en aanvalsvectoren, waaronder phishing-e-mails die malware bevatten die RDP-overnames mogelijk maakt.
De Hive-bende steelt records en informatie van zijn slachtoffers en versleutelt ook bestanden. Dit is de standaard geworden voor alle ransomware-operaties, in een poging om zowel het slachtoffer te chanteren met bedreigingen om de gestolen gegevens te lekken als versleutelde systemen af te sluiten.
Sommige dreigingsactoren zijn zelfs geëvolueerd voorbij deze dubbele dreigingsbenadering en zijn begonnen met het e-mailen van klanten van de slachtoffers om hun succesvolle aanvallen aan te kondigen. Uiteraard is dit geen tactiek die van toepassing is als het gaat om het aanvallen van ziekenhuis- en zorgnetwerken.
De Hive-ransomware versleutelt bestanden met de gelijknamige .hive-extensie en zoekt eerst naar en sluit vervolgens processen af die verband houden met anti-malware en back-uptools om maximale schade te garanderen. De ransomware probeert ook schaduwvolume-kopieën te verwijderen, als het erin slaagt er een te vinden. De initiële dropper van de ransomware is een bestand dat verschijnt als winlo.exe en wordt waargenomen in C:\Windows\SysWOW64.
Zodra de codering is voltooid, leidt de ransomware de slachtoffers naar een live-chatsessie die wordt gehost op het Tor-netwerk. Vreemd genoeg verklaarde de FBI zelfs dat sommige Hive-slachtoffers door de dreigingsactoren zijn gebeld om over het losgeld te onderhandelen.
Volgens onderzoekers is de Hive-ransomware tot nu toe ingezet bij bijna 30 aanvallen. De aanval op ziekenhuisnetwerken in West Virginia en Ohio zorgde ervoor dat dringende operaties op de dag van de inbreuk werden geannuleerd. Vanwege de inbreuk op de beveiliging moesten patiënten tijdelijk worden doorgestuurd naar andere ziekenhuizen, wat een enorme bedreiging kan vormen voor de gezondheid van noodgevallen.
Deze laatste aanval benadrukt de extreme gevaren van cruciale netwerken en systemen die worden blootgesteld aan aanvallen. Wanneer ransomware een bedrijf treft, kunnen de gevolgen zeer onaangenaam en financieel verlies zijn - aanzienlijk, maar in het geval van ransomware-aanvallen op ziekenhuis- en zorgnetwerken is er een zeer reëel gevaar voor verlies van mensenlevens.
