自2021年6月出现的勒索软件Hive,在美国已出现至少近30个受害组织,也使得美国联邦调查局(FBI)提出警告
最近几个月出现了数个新的勒索软件家族,且已经在短短的2至3个月出现数十个受害者。例如,自2021年6月开始运作的勒索软件Hive,锁定医疗照护供应商,以及缺乏因应勒索软件攻击能力的中型组织。网络安全业者Palo Alto Networks指出,目前黑客宣称他们成功攻击了28个组织,包含1家欧洲的航空公司,以及3家美国组织。他们分别是:硬件零售商、制造业者、法律事务所。黑客将这些受害者公布在名为Hive Leaks的网站上。
究竟这个勒索软件如何入侵受害组织?Palo Alto表示尚不明朗,仅表示背后的黑客组织曾运用多种手法,包含通过买到的帐密存取组织的内部网络、暴力破解,以及钓鱼手法等。
而根据Palo Alto的调查,Hive勒索软件的运作方式,与许多勒索软件有些不同。首先,Palo Alto指出,Hive勒索软件执行后,会产生2个指令码hive.bat与shadow.bat,用途分别是删除Hive勒索软件本身,以及清空磁碟区阴影复制(Volume Shadow Copy)服务的备份资料。而在勒索讯息(HOW_TO_DECRYPT.txt)的内容中,则是要求受害者通过指定的账号和密码,存取位于洋葱网络(Tor)的在线对话网站。
一旦受害者成功登入网站,就会看到类似实时通讯软件的聊天室,让他们与攻击者对话,讨论支付赎金的细节。
Palo Alto Networks揭露Hive勒索软件,受害者必须在右图网页输入帐密,才能使用左图聊天室与黑客交涉赎金与取得解密金钥的事宜。
Palo Alto发现,这些出现在勒索软件的帐密,似乎是针对特定受害者所提供,为了证实这项推测,他们试图取得更多版本的Hive勒索软件档案,结果发现2个尚未被黑客列在Hive Leaks网站上的受害组织。因此,遭到Hive勒索软件攻击的组织可能有更多。
针对Hive勒索软件的攻击态势,美国联邦调查局(FBI)也在8月25日提出警告,表明位于俄亥俄州的Memorial Healthcare System,于8月中旬遭到此勒索软件的攻击,攻击者通过远端桌面连线(RDP)入侵该医疗单位,FBI认为,Hive此波攻击很可能针对医疗体系而来。此外,FBI也指出,有部分受害者接到勒赎电话,要求他们付钱换回档案。
发表回复