Os criminosos do ransomware Hive atingiram mais de 1.300 empresas em todo o mundo, extorquindo cerca de US$ 100 milhões de suas vítimas nos últimos 18 meses, de acordo com o FBI.
Embora o Hive exista apenas desde junho de 2021, o operador de ransomware como serviço foi extremamente prolífico em sua existência relativamente curta e gostou muito de infraestruturas críticas e hospitais, onde sistemas de TI bloqueados podem ser literalmente uma questão de vida e morte.
Em abril, a agência de Saúde e Serviços Humanos dos EUA (HHS) alertou as organizações de saúde sobre o Hive, que o HHS descreveu como uma ameaça “excepcionalmente agressiva” ao setor de saúde.
A gangue também tem como alvo instalações governamentais, comunicações, manufatura crítica e TI.
Em um comunicado conjunto [PDF] com a CISA e o HHS, o FBI detalhou esta semana os indicadores de comprometimento do Hive e as técnicas e procedimentos comumente usados ??que os federais observaram até este mês.
Ransomware Hive rende US$ 100 milhões de 1.300 vítimas globais
Embora a invasão inicial dependa de qual afiliado da Hive está realizando o ataque, os criminosos invadiram redes usando logins RDP de fator único roubados, redes privadas virtuais e outros protocolos de conexão de rede remota, de acordo com as agências.
No entanto, os criminosos também ignoraram a autenticação multifator e invadiram os servidores FortiOS explorando o CVE-2020-12812, um bug crítico de bypass de autenticação que a Fortinet corrigiu há mais de dois anos.
E, às vezes, eles usam e-mails de phishing testados e comprovados com anexos maliciosos e, em seguida, exploram várias vulnerabilidades do servidor Microsoft Exchange.
Uma vez invadidos, os bandidos têm vários métodos que usam para escapar da detecção. Isso inclui identificar processos relacionados a backups e ferramentas antivírus, copiar esses arquivos e encerrar os processos. Eles também são conhecidos por excluir logs de eventos do Windows e desabilitar o Windows Defender.
Como atuam
Os cibercriminosos da Hive “provavelmente” exfiltram dados com uma combinação de Rclone, um programa de código aberto usado para mover dados para armazenamento em nuvem e serviço de armazenamento em nuvem Mega.nz, de acordo com o FBI. E eles não visam exclusivamente os sistemas Windows: os desenvolvedores do Hive também criaram variantes de ransomware para Linux, VMware ESXi e FreeBSD.
Depois de obter acesso inicial, ignorar recursos de segurança e roubar informações confidenciais, os criminosos passam para a criptografia. Para isso, eles criam um arquivo chamado *.key (observação dos federais: anteriormente era *.key.*). O arquivo de chave, necessário para a descriptografia, é criado diretamente na raiz e somente na máquina onde foi criado.
Em seguida, eles colocam uma nota de resgate, “HOW_TO_DECRYPT.txt”, em cada diretório comprometido com um link para um “departamento de vendas” acessível por meio de um navegador TOR para conversar com um bandido útil para discutir o pagamento e um prazo para pagar.
A gangue também ameaça postar os dados roubados em seu site HiveLeaks se a organização não pagar o resgate. “Sabe-se que os atores do Hive reinfectam – com o ransomware Hive ou outra variante do ransomware – as redes de organizações de vítimas que restauraram sua rede sem fazer um pagamento de resgate”, alertou o FBI.
Pagar ou não?
Também é importante notar que pagar um resgate não é uma garantia de que uma organização não será atingida uma segunda ou até uma terceira vez pelo Hive ou outro operador de ransomware.
Caso em questão: em maio, uma empresa não identificada foi atingida por um ataque de ransomware Lockbit, de acordo com os pesquisadores de ameaças da Sophos. Menos de duas horas depois, um afiliado do ransomware Hive atacou a mesma empresa e, duas semanas depois, a organização foi atacada pela terceira vez por um grupo de ransomware BlackCat.