En hotgrupp känd som “Hive” har infiltrerat Microsoft Exchange-servrar med målet att infektera intet ont anande offer med ransomware.
Enligt vissa rapporter har gruppen använt denna taktik sedan förra sommaren – men de senaste attackerna har gett säkerhetsforskare insikt i deras taktik.
Närvaron av Hive – och det faktum att den driver en ransomware-as-a-service-modell där Hive ransomware kan användas av andra för att utföra andra attacker – betyder att det aldrig varit mer avgörande att investera i Antivirus mjukvara och andra verktyg för att hålla dig säker.
Hur fungerar Hive Ransomware?
“Under ett nyligen kontaktat en kund undersökte Varonis Forensics Team en ransomware-incident”, The Varonis Forensics TeamDet skriver Nadav Ovadia i ett inlägg.
I attacken som teamet studerade påbörjade Hive sitt angrepp genom att utnyttja ProxyShell, en samling av Microsoft Exchange Server-sårbarheter (och kritiska sådana) som ger angripare ett sätt att fjärrexekvera kod. Microsoft har enligt uppgift korrigerat detta problem 2021.
När ett webbskal (ett skadligt skript som skapar en bakdörr) väl har utnyttjats, sätter scenen för exekvering av Powershell-kod som underlättar för hotaktörerna att få privilegier på systemnivå. Bakdörren bibehålls så att gruppen kan fortsätta att attackera, och Cobalt strike-stagers laddas ner.
“skådespelaren lyckades uppnå sina skadliga mål och kryptera miljön på mindre än 72 timmar från den första kompromissen” Varonis Forensics Team.
Administratörsanvändarkonton skapas sedan och domänen Administrator NTLM hash dras från systemet. Med detta kan Hive kontrollera domänadministratörskontot.
Efter att denna process är klar kan ransomware-nyttolasten levereras till det intet ont anande offrets dator. Filer krypteras och en summa krävs för dekryptering – betalas via vad lösensumman kallar dess “försäljningsavdelning” (som endast kan nås till en .onion-adress).
Vilka är Hive?
Som US Department for Health and Human Services angav i en dokumentera publicerad för bara några dagar sedan är organisationen en “exceptionellt aggressiv, ekonomiskt motiverad ransomware-grupp” som har “historiskt ofta riktat in sig på hälsovårdsorganisationer.”
Men gruppen har också varit känd för att rikta in sig på finansiella företag, företag inom energisektorn och till och med ideella organisationer. Under tredje kvartalet 2021 – bara några månader efter att de startade sin verksamhet – var de redan de fjärde mest aktiva ransomware-operatörerna, sa HHS också.
Aktiviteter gruppen är inblandad i inkluderar dubbel utpressning (att stjäla data innan den krypteras), vilket kulminerar i att de lägger upp stulen data på sin dataläckaplats. De använder ofta “vanliga (men effektiva) infektionsvektorer” inklusive RDP- och VPN-kompromisser.
HHS säger också att gruppen trålar igenom offrens system och raderar data som de har försökt säkerhetskopiera, såväl som saker som skuggkopior. Regeringsdepartementets papper beskriver också hur Hive-medlemmar har varit kända för att ringa upp offer för att pressa dem att betala.
Bör jag uppgradera mitt företags säkerhet?
Ja, speciellt om du är ett litet företag – ungefär 82% av ransomware-attacker involvera småföretag som riktas mot. Det är mycket viktigt att du vidtar åtgärderna för att skydda ditt företag förr snarare än senare, eftersom dataintrången kan vara ekonomiskt ödesdigra.
Ett program som kan hjälpa är antivirusprogram. De flesta moderna antivirusprogram kommer med funktioner för att skydda dig mot hotet från ransomware, till exempel säkerhetskopiering av filer i realtid när misstänkta filer upptäcks på systemet.
Om du redan har ett antivirusprogram installerat är det aldrig en dålig idé att granska ditt paket – och se om det finns några uppdateringar som behöver laddas ner.