FBI vydala varovanie pre firmy pred čoraz viac plodnejším novým variantom ransomwaru, ktorý je známy ako Hive /úľový ransomware/.
Bleskové upozornenie, ktoré FBI zverejnila tento týždeň, uvádza, že ransomware založený na pobočkách používa na kompromitáciu podnikových sietí viacero mechanizmov, čo obrancom sťažuje zmierňovanie následkov.
FBI vo svojej výstrahe poznamenala, že tento variant ransomwaru – Hite má podobu phishingových mailov so škodlivými prílohami na získanie počiatočného prístupu a odcudzenie Remote Desktop Protocol /RDP/ na laterálne presúvanie.
Samotný malware hľadá a ukončuje procesy spojené so zálohovaním, antivírusom a kopírovaním súborov, aby sa zvýšila jeho šanca na úspech. Šifrované súbory končia príponou hive.
V upozornení FBI sa ďalej uvádza, že ransomware Hive následne vloží skript hive.bat do adresára, ktorý vynúti oneskorenie spustenia o jednu sekundu, aby po dokončení šifrovania vykonal čistenie, a to odstránením spustiteľného súboru hive a skriptu hive.bat.
Druhý súbor – shadow.bat bude vložený do adresára, aby sa odstránili tieňové kópie, vrátane záložných kópií diskov alebo snímok, bez upozornenia obete, a potom sa odstráni súbor shadow.bat.
Výkupné, ktoré bolo vložené do každého „napadnutého“ adresára varuje, že ak sú šifrované súbory upravené, premenované alebo odstránené, nie je možné ich obnoviť. V duchu moderných operácií ransomwaru, ktoré sú vysoko profesionalizované, je k dispozícii aj odkaz na živý chat s „obchodným oddelením“, ktorý je prístupný prostredníctvom prehliadača TOR na ďalšiu komunikáciu.
Niektoré obete povedali FBI, že od svojich útočníkov dostali následné telefonáty vyzývajúce na zaplatenie. Ďalšou taktikou je exfiltrácia a zverejnenie ukradnutých súborov.
Viacerí majú za to, že skupina alebo pobočky spojené s Hive boli zodpovedné za útok na Memorial Health System začiatkom augusta. Útok narušil systémy IT takmer na všetkých šesťdesiatich štyroch klinikách a troch nemocniciach.
Podľa Palo Alto Networks Hive od tohto týždňa porušil 28 organizácií uvedených na mieste úniku, vrátane európskej leteckej spoločnosti. Prvýkrát bol tento nový variant ransomwaru objavený v júni.
Zanechať komentár