Hirdetés
. Hirdetés

Ezért adott ki az FBI figyelmeztetést a Hive zsarolóvírusról

|

Súlyos az eset.

Hirdetés

A különböző zsarolóvírus-bandák bizonyos iparágakat vesznek célba, és váltságdíjat követelnek a szolgáltatások megszakításának feloldására. Az egészségügyre specializálódott Hive zsarolóvírus-banda idén már több támadást is végrehajtott, ami az érintett intézmények számára egy valódi rémálom. Nem csoda, hogy már az FBI is figyelmeztetést adott ki egy különösen kártékony kiberkártevő miatt.

A helyzet súlyosságára való tekintettel az FBI nyilvános közleményt adott ki, amelyben technikai információkat közölt a Hive zsarolóvírusról. Hogyan működik tehát a Hive ransomware? És hogyan védheti meg magát?

A Hive ransomware 2021 júniusában került reflektorfénybe. Néhány más zsarolóvírus-támadástól eltérően ez vélhetően affiliate-alapú zsarolóvírus, más szóval, Ransomware-as-a-Service modellt használ.

Edz azt jelenti, hogy a szolgáltatásként igénybe vett kártékony kóddal bármelyik bűnöző végrehajthat váltságdíjas támadásokat és profitálhat belőlük ennek az alvilági üzleti modellnek a segítségével anélkül, hogy tudná, hogyan működik az egész. Sajnálatosan egy támadó egyetlen sor kód ismerete nélkül is elkezdhet zsarolóvírus-támadásokat végrehajtani.

Hirdetés

Nemrég, augusztus 15-én egy nagy amerikai egészségügyi szolgáltatót, a Memorial Health Systemet támadta meg a zsarolóvírus csoport, aminek következtében egy időre le kellett mondaniuk a műtéteket és el kellett terelniük a betegeket. Ezért az FBI nyilvános figyelmeztetést tett közzé, hogy világos legyen, mire kell figyelni, és hogyan ismerhetők fel a hírhedt Hive zsarolóvíruscsoporttól érkező támadás jelei.

Így működik a Hive Ransomware

A Hive zsarolóvírus a taktikák, technikák és eljárások (TTP-k) széles skáláját alkalmazza a támadás hatékonyságának megalapozása érdekében. A rendszer megfertőzéséhez az adathalászat hagyományos megközelítését alkalmazzák, ahol egy e-mailben csatolt rosszindulatú fájlra lehet számítani. A fájl ártalmatlannak tűnhet, de ha rajta keresztül a zsarolóprogram bejut a megtámadott szervezet rendszerébe, a hozzáférés után azonnal működni kezd.

A Hive ransomware a rendszert a biztonsági mentésekhez, antivírus védelemhez, bármilyen más biztonsághoz és védelemhez kapcsolódó műveleteket szkenneli és a fájlok másolásával kapcsolatos folyamatokat is ellenőrzi. És ha ezel megvan, akkor megszünteti az összes ilyen folyamatot, hogy megbénítsa a védelmi mechanizmusokat.

Miután megfertőzte a rendszert, titkosítja a benne lévő fájlokat, és váltságdíjat követel egy figyelmeztetéssel együtt, hogy kiszivárogtatja a fájlokat a "HiveLeaks" portáljára, amely csak a Tor böngészőn keresztül érhető el, ezért lekövethetetlen a folyamat.

Az érintett fájlokat .hive kiterjesztéssel lehet felfedezni. A Hive zsarolóprogram egy .bat szkriptet is becsúsztat az érintett könyvtárba, hogy a titkosítás befejezése után megtisztítsa a fájlokat. Az eredeti fájlok megtisztítása után egy második shadow.bat szkriptet is elejt a zsarolóprogram, hogy megtisztítsa a megtalált adatok árnyék- vagy biztonsági másolatait.

Mindez a felhasználó értesítése nélkül történik, aki csak akkor veszi észre a ransomware jelenlétét, amikor egy .hive titkosított fájlokat tartalmazó könyvtárra bukkan, továbbá felfedez egy szöveges fájlt, amely utasításokat ad a fájlok visszafejtésére. Ez a Tor böngészőn keresztül elérhető értékesítési részleg linkjére fog vezetni, amely a zsarolóvírus támadóihoz kapcsolja az áldozatot egy élő csevegésre. Ezután a váltságdíj kifizetésére kettő-hat nap áll rendelkezésére, ami meghosszabbodhat, ha a zsarolókkal folyik a tárgyalás.

Hogyan maradhatunk biztonságban a Hive ransomware-től?

A Hive ransomware az adathalász e-mailekre támaszkodik a felhasználókat megtévesztése érdekben. A gonosz kód olyan legitim szoftverek álcája mögé igyekszik bújni, amelyek nélkülözhetetlenek lehetnek a vállalkozása számára. Például arra ösztönözhetik, hogy töltsön le egy 7zip futtatható fájlt (legális szoftver), és a zsarolóprogram ezzel megfertőzheti a rendszert. A támadók látszólag olyan fájlmegosztó szolgáltatásokat is használnak, mint a MEGA, a SendSpace és hasonlók, miközben a fájllinket ártalmatlannak és megbízhatónak tüntetik fel.

Ezért nyitva tartott szemmel érdemes a gyanús linkekre tekinteni. A valós veszély miatt van szükség bármilyen futtatható fájl ellenőrizésére és legális forrásának megerősítésére, mielőtt letöltenénk a számítógépünkre. Az FBI tanácsa szerint ne kattintsunk semmire, amiben nem vagyunk 100 százalékig biztosak. Ezen túlmenően pedig, a váltságdíj kifizetésének elkerülése érdekében érdemes felhőt vagy egy különálló (a hálózathoz nem csatlakozó) tárolómeghajtót használni az összes kritikus adat biztonsági mentéséhez.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.