ФБР предупреждает о новых атаках программ-вымогателей Hive
Федеральное бюро расследований США опубликовало официальное уведомление о деятельности группы вымогателей Hive. Предупреждение, вероятно, было вызвано атакой программы-вымогателя Hive на Memorial Health System в Огайо, которая попала в заголовки газет в середине августа.
ФБР объясняет, что Hive представляет собой злоумышленник, создающий угрозу со стороны программ-вымогателей, который возник в июне 2021 года и проникает в системы своих жертв с помощью различных инструментов и векторов атак, включая фишинговые электронные письма, содержащие вредоносные программы, позволяющие захватить RDP.
Банда Улей крадет записи и информацию у своих жертв, а также шифрует файлы. Это стало стандартом для всех операций с программами-вымогателями в попытке шантажировать жертву угрозами утечки украденных данных и выключить зашифрованные системы.
Некоторые злоумышленники даже вышли за рамки этого подхода двойной угрозы и начали отправлять сообщения клиентам жертв по электронной почте, объявляя об успешных атаках. Очевидно, что эта тактика неприменима, когда дело доходит до атак на сети больниц и здравоохранения.
Программа-вымогатель Hive шифрует файлы с одноименным расширением .hive и сначала ищет, а затем завершает процессы, связанные с защитой от вредоносных программ и средствами резервного копирования, чтобы гарантировать максимальный ущерб. Программа-вымогатель также пытается удалить теневые копии тома, если ей удастся их найти. Первоначальный дроппер вымогателя - это файл, который отображается как winlo.exe и находится в C: \ Windows \ SysWOW64.
После завершения шифрования программа-вымогатель направляет жертв в сеанс живого чата, размещенный в сети Tor. Любопытно, что ФБР даже заявило, что злоумышленники звонили некоторым жертвам Улья по телефону, чтобы договориться о выкупе.
По данным исследователей, на данный момент программа-вымогатель Hive была задействована почти в 30 атаках. Атака на сети больниц в Западной Вирджинии и Огайо привела к отмене срочных операций в день взлома. Из-за нарушения безопасности пациентов пришлось временно перенаправлять в другие больницы, что потенциально могло представлять огромную угрозу для здоровья в экстренных случаях.
Эта последняя атака подчеркивает крайнюю опасность критических сетей и систем, подверженных атаке. Когда программа-вымогатель поражает бизнес, последствия могут быть очень неприятными, а финансовые потери - значительными, но в случае атак программ-вымогателей на больничные и медицинские сети существует реальная опасность гибели людей.