Il gruppo ransomware Hive ha già hackerato oltre 30 organizzazioni e aziende.
Il Federal Bureau of Investigation (FBI) statunitense ha diffuso dettagli tecnici e indicatori di compromissione relativi agli attacchi del gruppo ransomware Hive. L’agenzia ha anche fornito un collegamento a un sito di violazione dei dati in cui il gruppo pubblica informazioni rubate alle aziende.
Secondo l’FBI, gli operatori di Hive utilizzano una serie diversificata di tattiche, tecniche e procedure che rendono difficile proteggere le organizzazioni dai suoi attacchi. I criminali ottengono l’accesso iniziale alle reti delle vittime tramite e-mail di phishing con allegati dannosi e Remote Desktop Protocol (RDP).
Prima di avviare la procedura di crittografia, il ransomware Hive ruba i file che gli hacker ritengono preziosi per costringere successivamente la vittima a pagare un riscatto sotto la minaccia di una perdita di dati. Secondo gli esperti, i criminali informatici cercano nei dispositivi informatici processi di backup, copia di file e soluzioni di sicurezza (ad esempio Windows Defender) che possono interferire con l’attività di crittografia dei dati e terminarli.
Questo passaggio è seguito dall’avvio dello script hive.bat, che esegue la procedura di pulizia, eliminando se stesso dopo che l’eseguibile del malware Hive è stato rimosso.
Un altro script chiamato shadow.bat esegue l’attività di rimozione di copie shadow, file di backup e snapshot dello stato del sistema, quindi si elimina dal dispositivo compromesso.
Alcune vittime degli attacchi ransomware Hive hanno riferito che gli aggressori li hanno contattati e hanno chiesto di pagare un riscatto in cambio dei file rubati. Il termine di pagamento iniziale varia da 2 a 6 giorni, ma in alcuni casi il raggruppamento può estenderlo.
Alcuni dei file visti negli attacchi ransomware Hive includono: Winlo.exe (utilizzato per rimuovere la versione legittima dell’archiviatore di file 7zG.exe), 7zG.exe (versione 19.0.0 dell’archiviatore di file 7-Zip) e Winlo_dump_64_SCY.exe (utilizzato per crittografare i file con l’estensione .KEY aggiunta e per scaricare la richiesta di riscatto (HOW_TO_DECRYPT.txt)
Come notato dall’FBI, gli aggressori si affidano anche a servizi di condivisione di file come Anonfiles, MEGA, Send.Exploit, Ufile o SendSpace.
Il gruppo Hive ha già attaccato diversi fornitori e organizzazioni sanitarie, tra cui una compagnia aerea europea e tre compagnie negli Stati Uniti. Altre vittime di questo ransomware si trovano in Australia, Cina, India, Paesi Bassi, Norvegia, Perù, Portogallo, Svizzera, Thailandia e Regno Unito.