Правительство США предупредило о продолжающейся вредоносной деятельности печально известной банды Hive ransomware, которая вымогала более 100 миллионов долларов у своих жертв.
В опубликованном в четверг ФБР, Агентством по кибербезопасности и инфраструктурной безопасности США и Министерством здравоохранения и социальных служб США докладе говорится, что банда Hive ransomware получила более 100 миллионов долларов в виде выкупа от более чем 1300 жертв с тех пор, как она была впервые замечена в июне 2021 года.
В список жертв вошли организации из самых разных отраслей промышленности и секторов критической инфраструктуры, таких как правительственные учреждения, средства связи и информационные технологии, учреждения здравоохранения и общественного здоровья.
Hive, работающая по модели ransomware-as-a-service (RaaS), в августе 2021 года сделала своей первой жертвой систему здравоохранения Memorial Health System, расположенную в штате Иллинойс. Эта кибератака заставила систему здравоохранения перенаправить помощь экстренным пациентам и отменить операции по оказанию неотложной помощи и радиологические обследования. В июне 2022 года банда злоумышленников взломала государственную службу здравоохранения Коста-Рики, а в следующем месяце атаковала нью-йоркскую компанию Empress EMS, оказывающую услуги скорой помощи. Была похищена информация более 320 000 человек, включая имена, даты оказания услуг, страховую информацию и номера социального страхования.
В прошлом месяце Hive также добавил Lake Charles Memorial Health System, больничную систему в юго-западной Луизиане, на свой темный веб-сайт, где разместил сотни гигабайт данных, включая информацию о пациентах и сотрудниках.
В октябре Hive также атаковал Tata Power, ведущую энергетическую компанию Индии. В совместном консультативном письме ФБР и CISA-HHS предупреждается, что Hive обычно получает доступ к сетям жертв, используя украденные однофакторные учетные данные для доступа к системам удаленного рабочего стола, виртуальным частным сетям и другим системам, выходящим в Интернет. Однако CISA также предупреждает, что группа вымогателей также обходит некоторые системы многофакторной аутентификации, используя непропатченные уязвимости.
«В некоторых случаях участники Hive обходят многофакторную аутентификацию и получают доступ к серверам FortiOS, используя CVE-2020-12812», – говорится в сообщении. «Эта уязвимость позволяет злоумышленнику войти в систему без запроса второго фактора аутентификации пользователя (FortiToken), когда он меняет регистр имени пользователя.»
Сообщение также предупреждает, что участники Hive были замечены в повторном заражении жертв, которые восстановили свои среды без уплаты выкупа, либо с помощью Hive, либо другого варианта ransomware.
Исследователи Центра разведки угроз Microsoft (MSTIC) ранее в этом году обнаружили, что Hive усовершенствовал свое вредоносное ПО, переведя код с языка Go на язык программирования Rust, что позволило ему использовать более сложный метод шифрования для ransomware as a service.
Правительство США поделилось индикаторами компрометации Hive (IOCs) и тактиками, методами и процедурами (TTPs), обнаруженными ФБР, чтобы помочь защитникам обнаружить вредоносную активность, связанную с филиалами Hive, и уменьшить или устранить последствия таких инцидентов.
Комментарии (0)