Το Federal Bureau of Investigation (FBI) δημοσίευσε ορισμένες τεχνικές λεπτομέρειες που σχετίζονται με επιθέσεις Hive ransomware.
Το FBI μάλιστα συμπεριέλαβε τον σύνδεσμο που οδηγεί στον ιστότοπο διαρροών όπου η ομάδα του ransomware, δημοσιεύει δεδομένα που έχουν κλαπεί από εταιρείες που δεν πλήρωσαν λύτρα.
Το Hive ransomware χρησιμοποιεί διάφορες τεχνικές και διαδικασίες απόκρυψης, γεγονός που καθιστά πολύ δύσκολο στους οργανισμούς να αμυνθούν από τις επιθέσεις του, αναφέρει το FBI.
Μεταξύ των μεθόδων που χρησιμοποιεί η ομάδα για να αποκτήσει πρόσβαση και να κρυφτεί στο δίκτυο, είναι τα μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα και οι επιθέσεις στην απομακρυσμένη επιφάνεια εργασία (RDP).
Πριν από την κρυπτογράφηση, το ransomware Hive κλέβει αρχεία που θεωρούνται πολύτιμα, για να πιέσει το θύμα να πληρώσει τα λύτρα υπό την απειλή της διαρροής δεδομένων.
Το FBI λέει ότι το κακόβουλο λογισμικό αναζητά διεργασίες για τη δημιουργία αντιγράφων ασφαλείας, και τις λύσεις ασφαλείας (όπως το Windows Defender) που θα εμπόδιζαν την διαδικασία της κρυπτογράφησης των δεδομένων και τις τερματίζει.
Αυτό το στάδιο ακολουθείται με την χρήση ενός hive.bat script που τρέχει μια διαδικασία καθαρισμού, διαγράφοντας τον εαυτό του όταν τελειώσει η αποστολή του.
Ένα άλλο script shadow.bat είναι επιφορτισμένο με τη διαγραφή των αντιγράφων, εφεδρικών αρχείων και στιγμιότυπων του συστήματος και στη συνέχεια διαγράφεται από τον παραβιασμένο κεντρικό υπολογιστή.
Το FBI αναφέρει ότι ορισμένα θύματα του ransomware Hive είπαν ότι ο δράστης επικοινώνησε μαζί τους ζητώντας τους να πληρώσουν λύτρα σε αντάλλαγμα για τα κλεμμένα αρχεία.
Επίσης σημειώνει ότι η ομάδα χρησιμοποιεί υπηρεσίες κοινής χρήσης αρχείων, πολλές από τις οποίες είναι ανώνυμες, όπως οι Anonfiles, MEGA, Send.Exploit, Ufile και SendSpace.
Αν και παρατηρήθηκε για πρώτη φορά στα τέλη Ιουνίου, το Hive ransomware έχει ήδη παραβιάσει περισσότερους από 30 οργανισμούς αυτό το καλοκαίρι, μια καταμέτρηση που περιλαμβάνει μόνο θύματα που αρνήθηκαν να πληρώσουν τα λύτρα.
Το FBI συνιστά να μην πληρώνετε τις ομάδες των ransomware, για να τους αποθαρρύνετε να συνεχίσουν τη δραστηριότητά τους. Επιπλέον, δεν υπάρχει καμία εγγύηση ότι ο θύτης θα καταστρέψει τα κλεμμένα δεδομένα αντί να τα πουλήσει ή να τα δώσει σε τρίτους.
Ανεξάρτητα από την απόφαση του θύματος να πληρώσει το ransomware ή όχι, το FBI παροτρύνει τις εταιρείες να αναφέρουν τα περιστατικά των ransomware, για να βοηθήσουν τους ερευνητές με κρίσιμες πληροφορίες να εντοπίζουν τους επιτιθέμενους και να λογοδοτούν για τις πράξεις τους.