FBI ostrzega przed nowymi atakami ransomware Hive
Amerykańskie Federalne Biuro Śledcze opublikowało oficjalny alert dotyczący działalności grupy ransomware Hive. Alarm został prawdopodobnie wywołany atakiem ransomware Hive na Memorial Health System w Ohio, który trafił na pierwsze strony gazet w połowie sierpnia.
FBI wyjaśnia, że Hive jest cyberprzestępczym zagrożeniem ransomware, które pojawiło się na rynku w czerwcu 2021 r. i infiltruje systemy swoich ofiar za pomocą różnych narzędzi i wektorów ataków, w tym e-maili phishingowych zawierających złośliwe oprogramowanie umożliwiające przejęcie przez RDP.
Gang Hive zarówno kradnie zapisy i informacje od swoich ofiar, jak i szyfruje pliki. Stało się to standardem we wszystkich operacjach oprogramowania ransomware, które ma na celu zarówno szantażowanie ofiary groźbami wycieku skradzionych danych, jak i zamknięcie zaszyfrowanych systemów.
Niektórzy cyberprzestępcy wyszli nawet poza podejście polegające na podwójnym zagrożeniu i zaczęli wysyłać e-maile do klientów ofiar, ogłaszając udane ataki. Oczywiście nie jest to taktyka mająca zastosowanie do atakowania sieci szpitali i opieki zdrowotnej.
Ransomware Hive szyfruje pliki za pomocą tytułowego rozszerzenia .hive i najpierw szuka, a następnie zamyka procesy związane z narzędziami do zwalczania złośliwego oprogramowania i tworzenia kopii zapasowych, aby zapewnić maksymalne szkody. Ransomware próbuje również usunąć kopie woluminów w tle, jeśli uda mu się je znaleźć. Początkowy dropper ransomware to plik, który pojawia się jako winlo.exe i jest obserwowany w C:\Windows\SysWOW64.
Po zakończeniu szyfrowania ransomware kieruje ofiary do sesji czatu na żywo hostowanej w sieci Tor. Co ciekawe, FBI stwierdziło nawet, że niektóre ofiary Hive zostały wezwane przez osoby zajmujące się groźbami w celu wynegocjowania okupu.
Według badaczy ransomware Hive zostało do tej pory wdrożone w prawie 30 atakach. Atak na sieci szpitali w Zachodniej Wirginii i Ohio spowodował, że pilne operacje zostały odwołane w dniu naruszenia. W związku z naruszeniem bezpieczeństwa pacjenci musieli być czasowo przekierowywani do innych szpitali, co potencjalnie może stanowić ogromne zagrożenie dla zdrowia w nagłych przypadkach.
Ten najnowszy atak podkreśla ekstremalne zagrożenia związane z kluczowymi sieciami i systemami narażonymi na atak. Kiedy ransomware uderzy w firmę, konsekwencje mogą być bardzo nieprzyjemne i straty finansowe - znaczne, ale w przypadku ataków ransomware na sieci szpitalne i medyczne, istnieje bardzo realne niebezpieczeństwo utraty życia ludzkiego.