Hive勒索软件骗子向1300名全球受害者勒索1亿美元

据美国联邦调查局(FBI)称，Hive勒索软件犯罪分子袭击了全球1300多家公司，在过去18个月里从受害者那里勒索了约1亿美元。 

尽管Hive自2021年6月才成立，但这家勒索软件即服务运营商在相对较短的时间内一直非常活跃，并对关键的基础设施和医院产生了浓厚的兴趣，在这些地方，锁定的IT系统可以说是生死攸关的问题。

今年4月，美国卫生与人类服务(HHS)机构就Hive向医疗保健机构发出警告，HHS将其描述为对卫生部门的“异常积极”的威胁。 

该团伙还瞄准政府设施、通信、关键制造业和IT。 

在与CISA和HHS的联合咨询中，联邦调查局本周详细说明了妥协的指标以及联邦调查局本月观察到的常用技术和程序。 

据这些机构称，虽然最初的入侵将取决于哪个Hive附属公司正在进行攻击，但犯罪分子已经使用窃取的单因素RDP登录、虚拟专用网络和其他远程网络连接协议闯入网络。 

然而，这些恶棍还通过利用CVE-2020-12812绕过了多因素身份验证，闯入了FortiOS服务器，这是Fortinet两年多前修复的一个关键的身份验证绕过漏洞。 

我们被告知，有时他们使用带有恶意附件的屡试不爽的网络钓鱼邮件，然后利用任意数量的Microsoft Exchange server漏洞。 

一旦他们闯入，骗子们有几种方法来逃避侦查。这包括识别与备份和防病毒工具相关的进程，复制这些文件，然后终止这些进程。

他们还会删除Windows事件日志并禁用Windows Defender。 

根据联邦调查局的说法，Hive子公司“可能”通过Rclone和云存储服务Mega.nz的组合来泄露数据，Rclone是一个用于将数据移动到云存储的开源程序。

它们并不仅仅针对Windows系统:Hive开发者还为Linux、VMware ESXi和FreeBSD开发了勒索软件变种。 

在他们获得初始访问权限、绕过安全功能并窃取敏感信息后，犯罪分子会转向加密。

为此，他们创建了一个名为*.key的文件(联邦政府的说明:以前是*.key.*)。

解密所需的密钥文件直接在根目录下创建，并且只在创建它的机器上创建。

然后，他们在每个被入侵的目录中放入一个勒索信，文件名为：

“HOW_TO_DECRYPT.txt”，其中有一个通过TOR浏览器可以访问的“销售部门”的链接，可以与一个乐于助人的骗子聊天，讨论付款和付款期限。

该团伙还威胁说，如果该组织不支付赎金，就将窃取的数据公布在其HiveLeaks网站上。

众所周知，Hive 攻击会再次感染受害者组织的网络，这些受害者组织在没有支付赎金的情况下恢复了他们的网络，”联邦调查局警告说。

同样值得注意的是，支付赎金并不能保证一个组织不会受到Hive或其他勒索软件运营商的第二次甚至第三次攻击。 

例证：据Sophos威胁研究人员称，今年5月，一家未具名的公司遭到了Lockbit勒索软件的攻击。

不到两个小时后，一个Hive勒索软件分支机构攻击了同一家公司。两周后，该组织第三次受到BlackCat勒索软件集团的攻击。 

换句话说:小偷之间真的没有信誉可言。