Die US-Regierung hat vor anhaltenden böswilligen Aktivitäten der berüchtigten Hive-Ransomware-Bande gewarnt, die mehr als 100 Millionen US-Dollar von ihrer wachsenden Liste von Opfern erpresst hat.
EIN gemeinsame Beratung Die am Donnerstag vom FBI, der US Cybersecurity and Infrastructure Security Agency und dem Department of Health and Human Services veröffentlichten Veröffentlichungen enthüllten, dass die Hive-Ransomware-Bande Lösegeldzahlungen von über 100 Millionen US-Dollar von über 1.300 Opfern erhalten hat, seit die Bande erstmals im Juni beobachtet wurde 2021.
Diese Liste von Opfern umfasst Organisationen aus einer Vielzahl von Branchen und kritischen Infrastruktursektoren wie Regierungseinrichtungen, Kommunikations- und Informationstechnologie, mit besonderem Schwerpunkt auf Einrichtungen des Gesundheitswesens und des öffentlichen Gesundheitswesens.
Hive, das ein Ransomware-as-a-Service-Modell (RaaS) betreibt, forderte das in Illinois ansässige Memorial Health System im August 2021 als sein erstes Opfer im Gesundheitswesen. Dieser Cyberangriff zwang das Gesundheitssystem, die Versorgung von Notfallpatienten umzuleiten und die dringende Versorgung einzustellen Operationen und radiologische Untersuchungen. Die Ransomware-Bande veröffentlichte auch vertrauliche Gesundheitsinformationen von etwa 216.000 Patienten.
Dann, im Juni 2022, kompromittierte die Bande den öffentlichen Gesundheitsdienst Costa Ricas, bevor sie im darauffolgenden Monat den in New York ansässigen Notfall- und Krankenwagendienstleister Empress EMS ins Visier nahm. Von über 320.000 Personen wurden Informationen gestohlen, darunter Namen, Daten von Dienstleistungen, Versicherungsinformationen und Sozialversicherungsnummern.
Erst letzten Monat hat Hive auch das Lake Charles Memorial Health System, ein Krankenhaussystem im Südwesten von Louisiana, zu seiner Dark-Web-Leak-Site hinzugefügt, auf der Hunderte von Gigabyte an Daten, einschließlich Patienten- und Mitarbeiterinformationen, veröffentlicht wurden.
Hive zielte im Oktober auch auf Tata Power, ein führendes Stromerzeugungsunternehmen in Indien.
Das gemeinsame FBI-CISA-HHS-Gutachten warnt davor, dass sich Hive normalerweise Zugang zu Opfernetzwerken verschafft, indem es gestohlene Single-Factor-Anmeldeinformationen verwendet, um auf Remote-Desktop-Systeme, virtuelle private Netzwerke und andere mit dem Internet verbundene Systeme von Organisationen zuzugreifen. Aber CISA warnt auch davor, dass die Ransomware-Gruppe auch einige Multi-Faktor-Authentifizierungssysteme umgeht, indem sie ungepatchte Schwachstellen ausnutzt.
„In einigen Fällen haben Hive-Akteure die Multi-Faktor-Authentifizierung umgangen und sich durch Exploit Zugang zu FortiOS-Servern verschafft CVE-2020-12812“, heißt es in der Beratung. „Diese Schwachstelle ermöglicht es einem böswilligen Cyber-Akteur, sich ohne Aufforderung zur Eingabe des zweiten Authentifizierungsfaktors des Benutzers (FortiToken) anzumelden, wenn der Akteur die Groß- und Kleinschreibung des Benutzernamens ändert.“
Der Ratgeber warnt auch davor, dass Hive-Akteure dabei beobachtet wurden, wie sie Opfer erneut infizierten, die ihre Umgebung wiederherstellten, ohne ein Lösegeld zu zahlen, entweder mit Hive oder einer anderen Ransomware-Variante.
Forscher des Microsoft Threat Intelligence Center (MSTIC). gewarnt Anfang dieses Jahres hatte Hive seine Malware aktualisiert, indem es seinen Code von Go auf die Programmiersprache Rust migrierte, was es ihm ermöglichte, eine komplexere Verschlüsselungsmethode für seine Ransomware-as-a-Service-Payload zu verwenden.
Die US-Regierung teilte Hive Indicators of Compromise (IOCs) und Taktiken, Techniken und Verfahren (TTPs), die vom FBI entdeckt wurden, um Verteidigern dabei zu helfen, böswillige Aktivitäten im Zusammenhang mit Hive-Tochterunternehmen zu erkennen und die Auswirkungen solcher Vorfälle zu verringern oder zu beseitigen.