31/08/21
Федеральное бюро расследований (ФБР) США опубликовало технические подробности и индикаторы компрометации, связанные с атаками вымогательской группировки Hive. Агентство также указало ссылку на сайт утечек данных, где группировка публикует информацию, похищенную у компаний.
По данным ФБР, операторы Hive используют разнообразный набор тактик, техник и процедур, что затрудняет защиту организаций от ее атак. Начальный доступ к сетям жертв преступники получают с помощью фишинговых электронных писем с вредоносными вложениями и протокола удаленного рабочего стола (RDP).
Перед запуском процедуры шифрования программа-вымогатель Hive крадет файлы, которые хакеры считают ценными, чтобы впоследствии заставить жертву заплатить выкуп под угрозой утечки данных. Как сообщили эксперты, злоумышленники ищут на компьютерных устройствах процессы резервного копирования, копирования файлов и решения безопасности (например, Защитник Windows), которые могут помешать задаче шифрования данных, и завершают их.
За этим этапом следует запуск скрипта hive.bat, который выполняет процедуру очистки, устраняя себя после удаления исполняемого файла вредоносной программы Hive.
Еще один скрипт под названием shadow.bat выполняет задачу удаления теневых копий, файлов резервных копий и снимков состояния системы, а затем удаляет себя со скомпрометированного устройства.
Некоторые жертвы атак вымогателей Hive сообщили, что злоумышленники выходили с ними на связь и требовали заплатить выкуп в обмен на украденные файлы. Первоначальный срок оплаты колеблется от 2 до 6 дней, но в некоторых случаях группировка может его продлевать.
Некоторые из файлов, наблюдаемых при атаках программ-вымогателей Hive, включают следующее: Winlo.exe (используется для удаления легитимной версии архиватора файлов 7zG.exe), 7zG.exe (версия 19.0.0 архиватора файлов 7-Zip) и Winlo_dump_64_SCY.exe (используется для шифрования файлов с добавлением расширения .KEY и для загрузки записки с требованием выкупа HOW_TO_DECRYPT.txt)
Как отметили в ФБР, злоумышленники также полагаются на службы обмена файлами, такие как Anonfiles, MEGA, Send.Exploit, Ufile или SendSpace.
Группировка Hive уже атаковала несколько поставщиков медицинских услуг и организаций, включая европейскую авиакомпанию и три компании в США. Другие жертвы данного вымогателя расположены в Австралии, Китае, Индии, Нидерландах, Норвегии, Перу, Португалии, Швейцарии, Таиланде и Великобритании.
