FBI می گوید بازیگران باج افزار Hive بیش از 100 میلیون دلار از قربانیان اخاذی کرده اند •

دولت ایالات متحده نسبت به ادامه فعالیت های مخرب باج افزار بدنام Hive که بیش از 100 میلیون دلار از فهرست رو به رشد قربانیان اخاذی کرده است، هشدار داده است.

مشاوره مشترکی که توسط FBI، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده و وزارت بهداشت و خدمات انسانی در روز پنجشنبه منتشر شد نشان داد که باند باج‌افزار Hive بیش از 100 میلیون دلار باج از بیش از 1300 قربانی از زمان تشکیل این باند دریافت کرده است. در ژوئن 2021 مشاهده شد.

این فهرست قربانیان شامل سازمان‌هایی از طیف گسترده‌ای از صنایع و بخش‌های زیرساختی حیاتی مانند تأسیسات دولتی، ارتباطات و فناوری اطلاعات، با تمرکز بر مراقبت‌های بهداشتی و نهادهای بهداشت عمومی است.

Hive که یک مدل باج‌افزار به‌عنوان یک سرویس (RaaS) را اجرا می‌کند، در آگوست 2021، سیستم سلامت یادبود مستقر در ایلینویز را به عنوان اولین قربانی مراقبت‌های بهداشتی خود اعلام کرد. این حمله سایبری، سیستم سلامت را مجبور کرد مراقبت‌ها را برای بیماران اورژانسی منحرف کند و مراقبت‌های فوری را لغو کند. جراحی و معاینات رادیولوژی باند باج افزار همچنین اطلاعات حساس سلامتی حدود 216000 بیمار را منتشر کرد.

سپس، در ژوئن 2022، این باند خدمات بهداشت عمومی کاستاریکا را قبل از هدف قرار دادن پاسخ اضطراری مستقر در نیویورک و ارائه دهنده خدمات آمبولانس Empress EMS در ماه بعد، به خطر انداخت. بیش از 320000 نفر اطلاعاتی از جمله نام، تاریخ ارائه خدمات، اطلاعات بیمه و شماره تامین اجتماعی به سرقت رفته بودند.

همین ماه گذشته، Hive همچنین Lake Charles Memorial Health System، یک سیستم بیمارستانی در جنوب غربی لوئیزیانا را به سایت تاریک وب نشت خود اضافه کرد، جایی که صدها گیگابایت داده، از جمله اطلاعات بیمار و کارمند را ارسال کرد.

Hive همچنین Tata Power، یک شرکت برتر تولید برق در هند را در ماه اکتبر هدف قرار داد.

مشاوره مشترک FBI-CISA-HHS هشدار می دهد که Hive معمولاً با استفاده از اعتبارنامه های تک عاملی دزدیده شده برای دسترسی به سیستم های دسکتاپ از راه دور سازمان، شبکه های خصوصی مجازی و سایر سیستم های اینترنتی دسترسی پیدا می کند. اما CISA همچنین هشدار می‌دهد که گروه باج‌افزار برخی از سیستم‌های احراز هویت چندعاملی را نیز با بهره‌برداری از آسیب‌پذیری‌های اصلاح‌نشده دور می‌زند.

در این توصیه نامه آمده است: «در برخی موارد، بازیگران Hive احراز هویت چند عاملی را دور زده و با بهره برداری از CVE-2020-12812 به سرورهای FortiOS دسترسی پیدا کرده اند. این آسیب‌پذیری یک بازیگر سایبری مخرب را قادر می‌سازد تا بدون درخواست دومین عامل احراز هویت کاربر (FortiToken) زمانی که بازیگر نام کاربری را تغییر می‌دهد وارد سیستم شود.»

این توصیه همچنین هشدار می دهد که بازیگران Hive مشاهده شده اند که قربانیانی را که محیط خود را بدون پرداخت باج بازیابی کرده اند، دوباره آلوده می کنند، چه با Hive یا یک نوع باج افزار دیگر.

محققان مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) در اوایل سال جاری هشدار دادند که Hive بدافزار خود را با انتقال کد خود از Go به زبان برنامه‌نویسی Rust ارتقا داده است و به آن امکان می‌دهد از روش رمزگذاری پیچیده‌تری برای باج‌افزار خود به عنوان بار سرویس استفاده کند.

دولت ایالات متحده شاخص‌های سازش (IOC) و تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) کشف شده توسط FBI را به اشتراک گذاشت تا به مدافعان کمک کند تا فعالیت‌های مخرب مرتبط با شرکت‌های وابسته به Hive را شناسایی کنند و تأثیر چنین حوادثی را کاهش داده یا از بین ببرند.