Os operadores de ransomware Hive extorquiram mais de US$ 100 milhões (cerca de R$ 535,5 mi) em pagamentos de resgate, Foram mais de 1.300 empresas em todo o mundo até novembro de 2022. As informações vêm das autoridades de segurança cibernética e inteligência dos EUA.
“Em novembro de 2022, os agentes do ransomware Hive vitimaram mais de 1.300 empresas em todo o mundo, recebendo aproximadamente US$ 100 milhões em pagamentos de resgate”, diz o alerta publicado pela CISA.
As autoridades informaram que, de junho de 2021 até pelo menos novembro de 2022, os invasores empregaram o ransomware Hive em ataques direcionados a uma ampla gama de empresas e setores de infraestrutura crítica, incluindo instalações governamentais, comunicações, fabricação crítica, tecnologia da informação e, especialmente, saúde e serviços públicos.
Operações do ransomware HIve
A operação de ransomware Hive está ativa desde junho de 2021, e fornece Ransomware-as-a-Service Hive e adota um modelo de dupla extorsão que ameaça publicar dados roubados das vítimas em seu site de vazamento;
Em abril de 2021, o Federal Bureau of Investigation (FBI) lançou um alerta flash sobre os ataques de ransomware Hive que inclui detalhes técnicos e indicadores de comprometimento associados às operações da gangue.
De acordo com um relatório publicado pela empresa de análise de blockchain Chainalysis, o ransomware Hive é uma das 10 principais variedades de ransomware em receita em 2021. O grupo usou vários métodos de ataque, incluindo campanhas de malspam, servidores RDP vulneráveis ??e credenciais VPN comprometidas.
Em junho, os pesquisadores do Microsoft Threat Intelligence Center (MSTIC) descobriram a nova variante, enquanto analisavam uma nova técnica usada pelo ransomware para descartar arquivos .key. A principal diferença entre a nova variante do malware Hive está relacionada à linguagem de programação utilizada pelos operadores. As variantes antigas foram escritas na linguagem Go, enquanto a nova variante Hive é escrita em Rust.
O alerta aponta que a técnica da invasão inicial depende de qual afiliado visa a rede. Os agentes de ameaças foram observados obtendo acesso inicial às redes das vítimas usando logins de fator único via Remote Desktop Protocol (RDP), redes privadas virtuais (VPNs) e outros protocolos de conexão de rede remota.
Em alguns ataques, o grupo conseguiu contornar a autenticação multifator (MFA) e obteve acesso aos servidores FortiOS explorando a vulnerabilidade CVE-2020-12812.
Os agentes de ameaças também obtiveram acesso inicial às redes das vítimas por meio de ataques de phishing, entregando documentos armados e explorando três falhas nos servidores Microsoft Exchange.
Especialistas do governo também alertam que os operadores do Hive são conhecidos por infectar novamente as redes das vítimas com o ransomware Hive ou outra variante de ransomware. O alerta inclui indicadores de comprometimento (IoC), MITRE ATT&CK TECHNIQUES e mitigações.