米国政府は、悪名高い Hive ランサムウェア ギャングによる進行中の悪意のある活動について警告しました。Hive は、増え続ける被害者リストから 1 億ドル以上を強要しました。
あ 共同勧告 FBI、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー、保健社会福祉省が木曜日に発表したレポートでは、Hive ランサムウェア ギャングが 6 月に最初に発見されて以来、1,300 人以上の被害者から 1 億ドル以上の身代金を受け取っていることが明らかになりました。 2021年。
この被害者のリストには、さまざまな業界の組織や、政府施設、通信、情報技術などの重要なインフラストラクチャ セクターの組織が含まれており、特に医療および公衆衛生機関に焦点を当てています。
サービスとしてのランサムウェア (RaaS) モデルを運用する Hive は、2021 年 8 月に最初の医療被害者としてイリノイ州に本拠を置くメモリアル ヘルス システムを主張しました。手術と放射線検査。 ランサムウェア ギャングは、約 216,000 人の患者の健康に関する機密情報も公開しました。
その後、2022 年 6 月、ギャングはコスタリカの公衆衛生サービスを侵害し、翌月にはニューヨークを拠点とする緊急対応および救急車サービス プロバイダーの Empress EMS を標的にしました。 320,000 人以上の個人が、名前、サービスの日付、保険情報、社会保障番号などの情報を盗まれました。
ちょうど先月、Hive は、ルイジアナ州南西部の病院システムである Lake Charles Memorial Health System をダーク Web リーク サイトに追加し、患者や従業員の情報を含む数百ギガバイトのデータを投稿しました。
Hive は、10 月にインドのトップ発電会社である Tata Power も標的にしました。
FBI、CISA、HHS の共同勧告では、Hive は通常、盗まれた単一要素認証情報を使用して組織のリモート デスクトップ システム、仮想プライベート ネットワーク、およびその他のインターネットに接続されたシステムにアクセスすることで、被害者のネットワークにアクセスできると警告しています。 しかし、CISA はまた、ランサムウェア グループが、パッチが適用されていない脆弱性を悪用して、いくつかの多要素認証システムを回避していると警告しています。
「場合によっては、Hive アクターが多要素認証をバイパスし、FortiOS サーバーへのアクセスを取得するために、 CVE-2020-12812」と勧告は述べています。 「この脆弱性により、悪意のあるサイバー攻撃者は、攻撃者がユーザー名の大文字と小文字を変更したときに、ユーザーの 2 番目の認証要素 (FortiToken) のプロンプトなしでログインできます。」
このアドバイザリでは、Hive のアクターが、Hive または別のランサムウェアの亜種を使用して、身代金を支払わずに環境を復元した被害者を再感染させていることが観察されていることも警告しています。
Microsoft の脅威インテリジェンス センター (MSTIC) の研究者 警告した 今年初め、Hive はそのコードを Go から Rust プログラミング言語に移行することでマルウェアをアップグレードし、サービス ペイロードとしてのランサムウェアに対してより複雑な暗号化方式を使用できるようにしました。
米国政府は、防御側が Hive 関連会社に関連する悪意のあるアクティビティを検出し、そのようなインシデントの影響を軽減または排除するのに役立つように、FBI によって発見された Hive の侵害の兆候 (IOC) と戦術、技術、および手順 (TTP) を共有しました。