A különböző zsarolóvírus-bandák bizonyos iparágakat vesznek célba, és váltságdíjat követelnek a szolgáltatások megszakításának feloldására. Az egészségügyre specializálódott Hive zsarolóvírus-banda idén már több támadást is végrehajtott, ami az érintett intézmények számára egy valódi rémálom. Nem csoda, hogy már az FBI is figyelmeztetést adott ki egy különösen kártékony kiberkártevő miatt.
A helyzet súlyosságára való tekintettel az FBI nyilvános közleményt adott ki, amelyben technikai információkat közölt a Hive zsarolóvírusról. Hogyan működik tehát a Hive ransomware? És hogyan védheti meg magát?
A Hive ransomware 2021 júniusában került reflektorfénybe. Néhány más zsarolóvírus-támadástól eltérően ez vélhetően affiliate-alapú zsarolóvírus, más szóval, Ransomware-as-a-Service modellt használ.
Edz azt jelenti, hogy a szolgáltatásként igénybe vett kártékony kóddal bármelyik bűnöző végrehajthat váltságdíjas támadásokat és profitálhat belőlük ennek az alvilági üzleti modellnek a segítségével anélkül, hogy tudná, hogyan működik az egész. Sajnálatosan egy támadó egyetlen sor kód ismerete nélkül is elkezdhet zsarolóvírus-támadásokat végrehajtani.
Nemrég, augusztus 15-én egy nagy amerikai egészségügyi szolgáltatót, a Memorial Health Systemet támadta meg a zsarolóvírus csoport, aminek következtében egy időre le kellett mondaniuk a műtéteket és el kellett terelniük a betegeket. Ezért az FBI nyilvános figyelmeztetést tett közzé, hogy világos legyen, mire kell figyelni, és hogyan ismerhetők fel a hírhedt Hive zsarolóvíruscsoporttól érkező támadás jelei.
Így működik a Hive Ransomware
A Hive zsarolóvírus a taktikák, technikák és eljárások (TTP-k) széles skáláját alkalmazza a támadás hatékonyságának megalapozása érdekében. A rendszer megfertőzéséhez az adathalászat hagyományos megközelítését alkalmazzák, ahol egy e-mailben csatolt rosszindulatú fájlra lehet számítani. A fájl ártalmatlannak tűnhet, de ha rajta keresztül a zsarolóprogram bejut a megtámadott szervezet rendszerébe, a hozzáférés után azonnal működni kezd.
A Hive ransomware a rendszert a biztonsági mentésekhez, antivírus védelemhez, bármilyen más biztonsághoz és védelemhez kapcsolódó műveleteket szkenneli és a fájlok másolásával kapcsolatos folyamatokat is ellenőrzi. És ha ezel megvan, akkor megszünteti az összes ilyen folyamatot, hogy megbénítsa a védelmi mechanizmusokat.
Miután megfertőzte a rendszert, titkosítja a benne lévő fájlokat, és váltságdíjat követel egy figyelmeztetéssel együtt, hogy kiszivárogtatja a fájlokat a "HiveLeaks" portáljára, amely csak a Tor böngészőn keresztül érhető el, ezért lekövethetetlen a folyamat.
Az érintett fájlokat .hive kiterjesztéssel lehet felfedezni. A Hive zsarolóprogram egy .bat szkriptet is becsúsztat az érintett könyvtárba, hogy a titkosítás befejezése után megtisztítsa a fájlokat. Az eredeti fájlok megtisztítása után egy második shadow.bat szkriptet is elejt a zsarolóprogram, hogy megtisztítsa a megtalált adatok árnyék- vagy biztonsági másolatait.
Mindez a felhasználó értesítése nélkül történik, aki csak akkor veszi észre a ransomware jelenlétét, amikor egy .hive titkosított fájlokat tartalmazó könyvtárra bukkan, továbbá felfedez egy szöveges fájlt, amely utasításokat ad a fájlok visszafejtésére. Ez a Tor böngészőn keresztül elérhető értékesítési részleg linkjére fog vezetni, amely a zsarolóvírus támadóihoz kapcsolja az áldozatot egy élő csevegésre. Ezután a váltságdíj kifizetésére kettő-hat nap áll rendelkezésére, ami meghosszabbodhat, ha a zsarolókkal folyik a tárgyalás.
Hogyan maradhatunk biztonságban a Hive ransomware-től?
A Hive ransomware az adathalász e-mailekre támaszkodik a felhasználókat megtévesztése érdekben. A gonosz kód olyan legitim szoftverek álcája mögé igyekszik bújni, amelyek nélkülözhetetlenek lehetnek a vállalkozása számára. Például arra ösztönözhetik, hogy töltsön le egy 7zip futtatható fájlt (legális szoftver), és a zsarolóprogram ezzel megfertőzheti a rendszert. A támadók látszólag olyan fájlmegosztó szolgáltatásokat is használnak, mint a MEGA, a SendSpace és hasonlók, miközben a fájllinket ártalmatlannak és megbízhatónak tüntetik fel.
Ezért nyitva tartott szemmel érdemes a gyanús linkekre tekinteni. A valós veszély miatt van szükség bármilyen futtatható fájl ellenőrizésére és legális forrásának megerősítésére, mielőtt letöltenénk a számítógépünkre. Az FBI tanácsa szerint ne kattintsunk semmire, amiben nem vagyunk 100 százalékig biztosak. Ezen túlmenően pedig, a váltságdíj kifizetésének elkerülése érdekében érdemes felhőt vagy egy különálló (a hálózathoz nem csatlakozó) tárolómeghajtót használni az összes kritikus adat biztonsági mentéséhez.
