La banda del ransomware Hive ha colpito più di 1.300 aziende, ricevendo oltre 100 milioni di dollari in pagamenti di riscatti nell’ultimo anno e mezzo, secondo le agenzie governative statunitensi. Attivo dal giugno 2021 e offerto come ransomware-as-a-service (RaaS), Hive è stato utilizzato in attacchi contro aziende e infrastrutture critiche, tra cui organizzazioni di comunicazione, governo, sanità, IT e produzione critica. Nel tentativo di aumentare la consapevolezza del ransomware Hive, la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e il Department of Health and Human Services (HHS) hanno pubblicato un avviso congiunto che illustra in dettaglio gli indicatori di compromissione osservati (IoC) e le tattiche, tecniche e procedure (TTP). A seconda dell’affiliato che diffonde Hive, l’accesso iniziale alla rete della vittima può essere ottenuto tramite Remote Desktop Protocol (RDP), reti private virtuali (VPN) e altri protocolli di connessione remota non protetti da autenticazione a più fattori (MFA). In alcuni attacchi ransomware Hive, gli attori delle minacce sono stati osservati mentre bypassavano l’MFA e sfruttavano CVE-2020-12812 per accedere ai server FortiOS, si legge nell’avviso congiunto. Gli affiliati di Hive sono stati visti anche inviare e-mail di phishing con allegati dannosi e sfruttare le vulnerabilità note di Microsoft Exchange Server (CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523). Dopo aver ottenuto l’accesso alla rete della vittima, il ransomware Hive tenta di identificare e terminare i processi relativi all’antimalware, ai backup e alla copia dei file, di arrestare i servizi di copia ombra dei volumi e di rimuovere le copie esistenti, nonché di eliminare i registri degli eventi di Windows.
Prima della crittografia, i criminali informatici esfiltravano anche i dati di interesse dai sistemi Windows, Linux, VMware ESXi e FreeBSD compromessi. Hive crea un file con estensione .key nella directory principale; questo file, unico per il sistema in cui è stato creato, è necessario per la decriptazione. In ogni directory colpita viene inserita una nota di riscatto che avverte le vittime di non manomettere il file .key, in quanto ciò impedirebbe il recupero dei dati, e le indirizza a contattare gli aggressori tramite una chat live su un sito web accessibile tramite il browser Tor. La nota di riscatto minaccia inoltre le vittime che, in caso di mancato pagamento del riscatto, i dati saranno resi pubblici sul sito Tor “HiveLeaks”. Gli attori della minaccia Hive sono stati visti utilizzare anche siti di condivisione di file anonimi per diffondere i dati rubati. “Una volta che l’organizzazione vittima contatta gli attori di Hive sul pannello di live chat, gli attori di Hive comunicano l’importo del riscatto e la scadenza del pagamento. Gli attori di Hive negoziano le richieste di riscatto in dollari USA, con importi iniziali che vanno da alcune migliaia a milioni di dollari. Gli attori dell’Hive chiedono il pagamento in Bitcoin”, affermano CISA, FBI e HHS. Le tre agenzie avvertono inoltre che gli attori di Hive sono stati osservati mentre reinfettavano – con Hive o con un’altra variante di ransomware – le vittime che avevano ripristinato i loro ambienti senza pagare il riscatto.
