FBI advarer: Ransomware gruppe har allerede ramt 1.300 organisationer og har modtaget 717 millioner kroner

Advarsel (AA22-321A) vedr. Hive Ransomware

Handlinger, der skal træffes i dag for at afbøde cybertrusler fra ransomware

I forhold til HIVE Ransomware skal du omgående kontrollere om du har åbne porte på hver IP adresse, at der er multifaktorgodkendelse og dertil fjerne ethvert program der ikke er nødvendigt for din daglige drift. Servere skal have en penetrationstest mindst dagligt, i et abonnement sker det hver time. Skift gerne passwords hver uge, og benyt gerne USB hardware keys for login sikkerhed.

Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) og Department of Health and Human Services (HHS) frigiver denne fælles CSA for at formidle kendte Hive IOC’er og TTP’er identificeret gennem FBI-undersøgelser så sent som i november 2022.

FBI, CISA og HHS opfordrer organisationer til at implementere anbefalingerne i afsnittet.

Afbødninger i denne CSA for at reducere sandsynligheden for og virkningen af ransomware-hændelser. Ofre for ransomware-operationer skal rapportere hændelsen til deres lokale enten ICARE.DK, FBI-feltkontorer eller CISA.

Tekniske detaljer

Bemærk: Denne meddelelse bruger MITRE ATT&CK® for Enterprise-rammen, version 12.

Hive Ransomware indtil nu

Fra november 2022 har Hive ransomware-aktører ofret over 1,300 virksomheder over hele verden og modtaget ca. 100 millioner dollars i løsepengebetalinger, ifølge FBI-oplysninger. Hive ransomware følger RaaS-modellen (ransomware-as-a-service), hvor udviklere opretter, vedligeholder og opdaterer malware, og tilknyttede virksomheder udfører ransomware-angrebene.

Fra juni 2021 til mindst november 2022 har trusselsaktører brugt Hive ransomware til at målrette mod en bred vifte af virksomheder og kritiske infrastruktursektorer, herunder offentlige faciliteter, kommunikation, kritisk fremstilling, informationsteknologi og især sundhedspleje og folkesundhed (HPH).

Metoden til indledende indtrængen afhænger af, hvilken tilknyttet virksomhed der er målrettet mod netværket. Hive-aktører har fået indledende adgang til offernetværk ved hjælp af enkeltfaktor-logins via Remote Desktop Protocol (RDP), virtuelle private netværk (VPN’er) og andre eksterne netværksforbindelsesprotokoller [T1133].

I nogle tilfælde har Hive-aktører omgået multifaktorautentificering (MFA) og fået adgang til FortiOS-servere ved at udnytte Common Vulnerabilities and Exposures (CVE) CVE-2020-12812. Denne sårbarhed gør det muligt for en ondsindet cyberaktør at logge ind uden en prompt om brugerens anden godkendelsesfaktor (FortiToken), når skuespilleren ændrer brugernavnet.

Hive-aktører har også fået indledende adgang til offernetværk ved at distribuere phishing-e-mails med ondsindede vedhæftede filer [T1566.001] og ved at udnytte følgende sårbarheder mod Microsoft Exchange-servere [T1190]:

• CVE-2021-31207 – Microsoft Exchange Server-sikkerhedsfunktion omgå sårbarhed
• CVE-2021-34473 – Sårbarhed ved fjernudførelse af Microsoft Exchange Server Fjernudførelse af kode
• CVE-2021-34523 – Microsoft Exchange Server Privilege Escalation Sårbarhed

Efter at have fået adgang, Hive ransomware forsøger at undgå tilbageholdelse ved at udføre processer til:

• Identificer processer relateret til sikkerhedskopier, antivirus / anti-spyware og filkopiering og afslut derefter disse processer for at lette filkryptering [T1562].
• Stop lydstyrkeskyggekopieringstjenesterne, og fjern alle eksisterende skyggekopier via vssadmin på kommandolinjen eller via PowerShell [T1059] [T1490].
• Slet Windows-hændelseslogfiler, specifikt system-, sikkerheds- og applikationslogfilerne [T1070].

Hive deaktiverer Defender og antivirus programmer før den krypterer dine datalagringsenheder

Før kryptering fjerner Hive ransomware virusdefinitioner og deaktiverer alle dele af Windows Defender og andre almindelige antivirusprogrammer i systemregistret [T1112].

Hive-aktører exfiltrerer sandsynligvis data ved hjælp af en kombination af Rclone og cloud storage-tjenesten Mega.nz [T1537].

Ud over sine muligheder mod Microsoft Windows-operativsystemet, Hive ransomware har kendte varianter til Linux, VMware ESXi og FreeBSD.

Under krypteringsprocessen oprettes en fil med navnet *.key (tidligere *.key.*) i rodmappen (C: eller /root/). Påkrævet til dekryptering, denne nøglefil findes kun på den maskine, hvor den blev oprettet, og kan ikke gengives. Løsesumnoten, HOW_TO_DECRYPT.txt er droppet i hver berørt mappe og siger, at *.key filen ikke kan ændres, omdøbes eller slettes, ellers kan de krypterede filer ikke gendannes [T1486].

Løsesumnoten indeholder et .onion-link til “salgsafdeling”, der er tilgængeligt via en TOR-browser, hvilket gør det muligt for offerorganisationer at kontakte skuespillerne via et live chat-panel for at diskutere betaling for deres filer. Nogle ofre rapporterede dog at have modtaget telefonopkald eller e-mails fra Hive-skuespillere direkte for at diskutere betaling.

Løsesumnoten truer også ofrene med, at et offentligt offentliggørelses- eller lækagested, der er tilgængeligt på TOR-webstedet, “HiveLeaks”, indeholder data exfiltreret fra offerorganisationer, der ikke betaler løsesumskravet (se figur 1 nedenfor). Derudover har Hive-aktører brugt anonyme fildelingswebsteder til at videregive exfiltrerede data (se tabel 1 nedenfor).

Figur 1: Eksempel på Hive Ransom Note

Når offerorganisationen kontakter Hive-skuespillere på live chat-panelet, kommunikerer Hive-skuespillere løsesumbeløbet og betalingsfristen. Hive-aktører forhandler løsesumskrav i amerikanske dollars med indledende beløb fra flere tusinde til millioner af dollars. Hive-aktører kræver betaling i Bitcoin.

Hive-aktører har været kendt for at geninficere – med enten Hive ransomware eller en anden ransomware-variant – netværkene af offerorganisationer, der har gendannet deres netværk uden at betale løsepenge.

Indikatorer for kompromittering

Trusselsaktører har udnyttet følgende IOC’er under Hive ransomware-kompromiser. Bemærk: Nogle af disse indikatorer er legitime applikationer, som Hive-trusselsaktører brugte til at hjælpe med yderligere ondsindet udnyttelse.

Både FBI, CISA og HHS anbefaler at fjerne enhver applikation, der ikke anses for nødvendig til den daglige drift. Se tabel 2-3 nedenfor for IOC’er indhentet fra FBI’s trusselsresponsundersøgelser så sent som i november 2022.

MITRE ATT&CK TEKNIKKER

Se tabel 4 for alle refererede trusselsaktørtaktikker og teknikker, der er anført i denne vejledning.

Afhjælpninger

FBI, CISA og HHS anbefaler organisationer, især i HPH-sektoren, at implementere følgende for at begrænse potentiel kontradiktorisk brug af fælles system- og netværksopdagelsesteknikker og for at reducere risikoen for kompromis med Hive ransomware:

• Kontroller, at Hive-aktører ikke længere har adgang til netværket.
• Installer opdateringer til operativsystemer, software og firmware, så snart de frigives. Prioriter patching VPN-servere, fjernadgangssoftware, software til virtuelle maskiner og kendte udnyttede sårbarheder. Overvej at udnytte et centraliseret patch management system til at automatisere og fremskynde processen.
• Kræv phishing-resistent MFA til  så mange tjenester som muligt – især til webmail, VPN’er, konti, der har adgang til kritiske systemer, og privilegerede konti, der administrerer sikkerhedskopier.
• Hvis det bruges, skal du sikre og overvåge RDP.
  • Begræns adgangen til ressourcer via interne netværk, især ved at begrænse RDP og bruge virtuel desktop-infrastruktur.
  • Efter at have vurderet risici, hvis du anser RDP operationelt nødvendigt, skal du begrænse de oprindelige kilder og kræve, at MFA afbøder legitimationstyveri og genbrug.
  • Hvis RDP skal være tilgængelig eksternt, skal du bruge en VPN, virtuel desktopinfrastruktur eller andre midler til at godkende og sikre forbindelsen, før du tillader RDP at oprette forbindelse til interne enheder.
  • Overvåg fjernadgangs-/RDP-logfiler, gennemtving kontospærringer efter et bestemt antal forsøg på at blokere brute force-kampagner, log RDP-loginforsøg og deaktiver ubrugte fjernadgangs-/RDP-porte.
  • Sørg for at konfigurere enheder korrekt og aktivere sikkerhedsfunktioner.
  • Deaktiver porte og protokoller, der ikke bruges til forretningsformål, f.eks. RDP-port 3389/TCP.
• Vedligehold offline sikkerhedskopier af data, og vedligehold regelmæssigt sikkerhedskopiering og gendannelse. Ved at indføre denne praksis sikrer organisationen, at de ikke bliver alvorligt afbrudt og / eller kun har uigenkaldelige data.
• Sørg for, at alle sikkerhedskopieringsdata er krypterede, uforanderlige (dvs. kan ikke ændres eller slettes) og dækker hele organisationens datainfrastruktur. Sørg for, at dine sikkerhedskopieringsdata ikke allerede er inficeret.,
• Overvåg cybertrusselsrapportering vedrørende offentliggørelse af kompromitterede VPN-loginoplysninger, og skift adgangskoder / indstillinger, hvis det er relevant.
• Installer og opdater regelmæssigt antivirus- eller antimalwaresoftware på alle værter.
• Aktivér PowerShell-logning, herunder modullogning, logføring af scriptblok og transskription.
• Installer et forbedret overvågningsværktøj som Sysmon fra Microsoft for øget logning.
• Gennemse følgende yderligere ressourcer.
  • Den fælles rådgivning fra Australien, Canada, New Zealand, Storbritannien og USA om tekniske tilgange til afdækning og afhjælpning af ondsindet aktivitet giver yderligere vejledning i jagt eller efterforskning af et netværk og almindelige fejl, der skal undgås i hændelseshåndtering.
  • Cybersecurity and Infrastructure Security Agency-Multi-State Information Sharing & Analysis Center Joint Ransomware Guide dækker yderligere bedste praksis og måder at forebygge, beskytte og reagere på et ransomware-angreb.
  • StopRansomware.gov er den amerikanske regerings officielle one-stop-placering for ressourcer til at tackle ransomware mere effektivt.

Hvis din organisation påvirkes af en ransomware-hændelse, anbefaler FBI, CISA og HHS følgende handlinger.

• Isoler det inficerede system. Fjern det inficerede system fra alle netværk, og deaktiver computerens trådløse, Bluetooth og andre potentielle netværksfunktioner. Sørg for, at alle delte drev og netværksdrev er afbrudt.
• Sluk for andre computere og enheder. Sluk og adskil (dvs. fjern fra netværket) den eller de inficerede computere. Sluk og adskil alle andre computere eller enheder, der deler et netværk med den eller de inficerede computere, der ikke er fuldt krypteret af ransomware. Hvis det er muligt, skal du indsamle og sikre alle inficerede og potentielt inficerede computere og enheder på et centralt sted og sørge for tydeligt at mærke alle computere, der er krypteret. Slukning og adskillelse af inficerede computere og computere, der ikke er fuldt krypteret, kan give mulighed for gendannelse af delvist krypterede filer af specialister.
• Beskyt dine sikkerhedskopier. Sørg for, at dine sikkerhedskopieringsdata er offline og sikre. Hvis det er muligt, skal du scanne dine sikkerhedskopieringsdata med et antivirusprogram for at kontrollere, at de er fri for malware.

Derudover opfordrer FBI, CISA og HHS alle organisationer til at anvende følgende anbefalinger til at forberede sig på, afbøde / forhindre og reagere på ransomware-hændelser.

Forberedelse på cyberhændelser

• Gennemgå sikkerhedsniveauet for tredjepartsleverandører og dem, der er forbundet med din organisation. Sørg for, at alle forbindelser mellem tredjepartsleverandører og ekstern software eller hardware overvåges og gennemgås for mistænkelig aktivitet.
• Implementer listepolitikker for applikationer og fjernadgang, der kun tillader systemer at udføre kendte og tilladte programmer under en etableret sikkerhedspolitik.
• Dokumentér og overvåg eksterne fjernforbindelser. Organisationer skal dokumentere godkendte løsninger til fjernstyring og vedligeholdelse og straks undersøge, om en ikke-godkendt løsning er installeret på en arbejdsstation.
• Implementer en gendannelsesplan for at vedligeholde og opbevare flere kopier af følsomme eller proprietære data og servere på en fysisk adskilt, segmenteret og sikker placering (dvs. harddisk, lagerenhed, skyen).

Identitets- og adgangsstyring

• Kræv, at alle konti med adgangskodelogins (f.eks. servicekonto, administratorkonti og domæneadministratorkonti) overholder National Institute of Standards and Technology (NIST) standarder for udvikling og administration af adgangskodepolitikker.
  • Brug længere adgangskoder bestående af mindst 8 tegn og højst 64 tegn i længden.
  • Gem adgangskoder i hashformat ved hjælp af brancheanerkendte adgangskodeadministratorer.
  • Tilføj adgangskodebruger “salte” til delte loginoplysninger.
  • Undgå at genbruge adgangskoder.
  • Implementer flere mislykkede loginforsøg kontospærringer.
  • Deaktiver adgangskode “tip”.
  • Afstå fra at kræve adgangskodeændringer oftere end en gang om året, medmindre en adgangskode er kendt eller mistænkt for at være kompromitteret. Bemærk: NIST-vejledning foreslår at favorisere længere adgangskoder i stedet for at kræve regelmæssige og hyppige nulstillinger af adgangskoder. Hyppige nulstillinger af adgangskoder er mere tilbøjelige til at resultere i, at brugerne udvikler adgangskode “mønstre” cyberkriminelle let kan dechiffrere.
  • Kræv administratorlegitimationsoplysninger for at installere software.
• Kræv phishing-resistent multifaktorgodkendelse for alle tjenester i det omfang, det er muligt, især for webmail, virtuelle private netværk og konti, der har adgang til kritiske systemer.
• Gennemgå domænecontrollere, servere, arbejdsstationer og aktive mapper for nye og/eller ukendte konti.
• Overvåg brugerkonti med administrative rettigheder, og konfigurer adgangskontrol i henhold til princippet om mindst privilegium.
• Implementer tidsbaseret adgang for konti, der er angivet på administratorniveau og højere. For eksempel giver Just-in-Time (JIT) adgangsmetode privilegeret adgang, når det er nødvendigt, og kan understøtte håndhævelsen af princippet om mindst privilegium (samt Zero Trust-modellen). Dette er en proces, hvor der er indført en netværksdækkende politik for automatisk at deaktivere administratorkonti på Active Directory-niveau, når kontoen ikke er i direkte behov. Individuelle brugere kan indsende deres anmodninger gennem en automatiseret proces, der giver dem adgang til et bestemt system i en bestemt tidsramme, når de har brug for at understøtte færdiggørelsen af en bestemt opgave. 

Beskyttende kontroller og arkitektur

• Segmentnetværk for at forhindre spredning af ransomware. Netværkssegmentering kan hjælpe med at forhindre spredning af ransomware ved at kontrollere trafikstrømme mellem – og adgang til – forskellige undernetværk og ved at begrænse modstanderens laterale bevægelse.
• Identificer, detekter, og undersøg unormal aktivitet og potentiel gennemgang af den angivne ransomware med et netværksovervågningsværktøj. For at hjælpe med at opdage ransomware skal du implementere et værktøj, der logger og rapporterer al netværkstrafik, herunder lateral bevægelsesaktivitet på et netværk. EDR-værktøjer (Endpoint Detection and Response) er særligt nyttige til at registrere laterale forbindelser, da de har indsigt i almindelige og usædvanlige netværksforbindelser for hver vært.
• Installer, opdater regelmæssigt, og aktiver registrering i realtid for antivirussoftware på alle værter.

Administration af sårbarheder og konfiguration

• Overvej at føje et mailbanner til mails, der modtages uden for organisationen.
• Deaktiver kommandolinje- og scriptingaktiviteter og tilladelser. Privilegieeskalering og lateral bevægelse afhænger ofte af softwareværktøjer, der kører fra kommandolinjen. Hvis trusselsaktører ikke er i stand til at køre disse værktøjer, vil de have svært ved at eskalere privilegier og / eller bevæge sig sideværts.
• Sørg for, at enhederne er konfigureret korrekt, og at sikkerhedsfunktioner er aktiveret.
• Begræns SMB-protokollen (Server Message Block) i netværket for kun at få adgang til nødvendige servere og fjerne eller deaktivere forældede versioner af SMB (dvs. SMB version 1). Trusselsaktører bruger SMB til at udbrede malware på tværs af organisationer.

REFERENCER

• Stopransomware.gov er en tilgang til hele regeringen, der giver en central placering for ransomware-ressourcer og advarsler.
• Ressource til at afbøde et ransomware-angreb: CISA-Multi-State Information Sharing and Analysis Center (MS-ISAC) Joint Ransomware Guide.
• Gratis cyberhygiejnetjenester: Cyberhygiejnetjenester og vurdering af ransomware-beredskab

ØNSKEDE OPLYSNINGER

FBI, CISA og HHS opfordrer ikke til at betale en løsesum til kriminelle aktører. At betale en løsesum kan opmuntre modstandere til at målrette mod yderligere organisationer, tilskynde andre kriminelle aktører til at engagere sig i distribution af ransomware og / eller finansiere ulovlige aktiviteter. At betale løsesummen garanterer heller ikke, at et offers filer vil blive gendannet. FBI, CISA og HHS forstår imidlertid, at når virksomheder står over for manglende evne til at fungere, vil ledere evaluere alle muligheder for at beskytte deres aktionærer, medarbejdere og kunder. Uanset om du eller din organisation beslutter at betale løsesummen, opfordrer FBI, CISA og HHS dig til straks at rapportere ransomware-hændelser til dit lokale FBI-feltkontor eller til CISA på report@cisa.gov eller (888) 282-0870. Dette giver efterforskere de kritiske oplysninger, de har brug for til at spore ransomware-angribere, holde dem ansvarlige i henhold til amerikansk lov og forhindre fremtidige angreb.

FBI kan søge følgende oplysninger, som du bestemmer, at du lovligt kan dele, herunder:

• Gendannede eksekverbare filer
• Optagelse af RAM-hukommelse (Live random Access Memory)
• Billeder af inficerede systemer
• Malware prøver
• IP-adresser identificeret som ondsindede eller mistænkelige
• Angribernes e-mailadresser
• En kopi af løsesumnoten
• Løsesum beløb
• Bitcoin-tegnebøger, der bruges af angriberne
• Bitcoin-tegnebøger, der bruges til at betale løsesummen
• Retsmedicinske rapporter efter hændelsen

ANSVARSFRASKRIVELSE

Oplysningerne i denne rapport leveres “som de er” kun til orienteringsformål. FBI, CISA og HHS støtter ikke noget kommercielt produkt eller nogen tjeneste, herunder nogen genstand for analyse. Enhver henvisning til specifikke kommercielle produkter, processer eller tjenester efter servicemærke, varemærke, producent eller på anden måde udgør eller antyder ikke godkendelse, anbefaling eller favorisering fra FBI, CISA eller HHS.

Revisioner

Oprindelig version: 17. november 2022

Kilde: CISA og ICARE
Fotokredit: Pixabay