根据一份新的警报,到目前为止,Hive勒索病毒变体已经使其运营商和附属机构从1300多家全球公司中赚取了约1亿美元。
美国联邦调查局、美国网络安全和基础设施安全局(CISA)和美国卫生与公众服务部(HHS)昨日发布了这份联合报告。
据估计,这种勒索软件即服务(RaaS)变体在2021年6月首次被发现后,在大约15个月的时间里产生了利润。
受害组织来自各种各样的垂直行业,包括政府、通信、关键制造业和IT,尽管该组织显然特别关注医疗保健。
过去,该组织的附属机构通过含有诱骗附件的钓鱼电子邮件,利用微软Exchange Server漏洞,初步进入受害网络。
他们还专注于远程桌面基础设施。
该警报解释说:“Hive行为者通过远程桌面协议(RDP)、虚拟专用网络(vpn)和其他远程网络连接协议使用单因素登录,获得了对受害网络的初始访问权。”
在某些情况下,Hive参与者绕过多因素认证(MFA),通过CVE-2020-12812访问FortiOS服务器。该漏洞使恶意网络行为者在更改用户名大小写时,无需提示用户的第二个认证因子(FortiToken)即可登录。
入侵后活动包括终止备份和反病毒(AV)进程,删除影子复制服务和删除Windows事件日志,包括系统、安全和应用程序日志。
在窃取和加密数据之前,该组织还会在系统注册表中禁用Windows Defender和其他常见的反病毒程序。
该警报警告说:“如果组织从备份中恢复而不支付赎金,Hive黑客就会再次感染受害网络。”