Linux og FreeBSD-systemer er i søgelyset fra Hive og andre Ransomware grupper

Blandt andet er det Ransomware-gruppen Hive der målrettet går efter Linux- og FreeBSD-systemer med målrettede varianter af dens malware lavet af Hive selv og udbudet som RAAS

Ransomware-gruppen Hive har nemlig indledt angreb mod de mange gratis Linux- og FreeBSD-baserede systemer med særligt tilpassede versioner af dens malware-varianter. Denne gruppe Hive har ifølge BleepingComputer været aktiv siden sommeren.

HIVE gruppens Ransomware har allerede ramt mere end 30 organisationer

Ved at angribe virtuelle maskiner, har ransomware-grupperne nemlig mulighed for at kryptere adskillige servere på en gang med en enkelt kommando. Kendte sikkerhedsbrister kan benyttes hvis ejerne ikke opdatere sit operativ system og de applikationer der benyttes oven på operativ systemerne.

Vi så dette i de sidste 4 uger hvor den russiske gruppe REvil har angrebet VMware ESXi virtuelle maskiner.

Men Hive og Revil er ikke alene. Andre ransomware-grupper, der lige nu går målrettet efter Linux, er grupper som:

  1. Babuk
  2. RansomExx/Defray
  3. Mespinoza
  4. Snatch
  5. PureLocker
  6. GoGoogle
  7. DarkSide
  8. Hellokitty

Kryptering og dekryptering

For tiden ses at hovedmålet i næsten alle tilfælde er ESXi der er en virtual server udgivet af VMware.

Der kan dekrypteres med en speciel dekrypteringsnøgle der menes at stamme fra Darknet, men denne er ikke offentlig. Selvfølgelig har Hive nøglerne, men de er nok de mest ligeglade af hackergrupperne. Dekryptering er pt. ikke mulig uden nøgle, men vi anbefaler at have alle data krypteret da SSD m.v. ikke kan krypteres 2 gange på grund af controlleren, softwaren og ellers bruges kryptering også på de mange SSD diske og USB diske,

Hive Ransomware som RaaS (Ransomware-as-a-Service og tidligere aktivt rettet mod hospitaler

De fleste ransomware grupper, der opererer i RaaS (Ransomware-as-a-Service) model har en intern etisk kodeks, der omfatter undgå at overtræde nogle specifikke sektorer, såsom hospitaler eller kritisk infrastruktur, og dermed undgå stor skade på samfundet og dermed trække mindre opmærksomhed fra retshåndhævelse. For eksempel, BlackMatter ransomware hedder det, at de ikke er villige til at angribe hospitaler, kritisk infrastruktur, forsvarsindustrien, non-profit virksomheder, og olie-og gasindustrien mål, der har lært af de fejl i andre grupper, såsom DarkSide, der har lukket sine operationer efter Colonial Pipeline angrebet.

Men, et sådant etiske kodeks er ikke altid en standard, som det er tilfældet med Hive, en ny familie af Ransomware der først blevopdaget i juni 2021. Hive Ransomware var ansvarlig for et angreb mod Memorial Health System, en non-profit integreret sundhedssystem med tre hospitaler i Ohio og West Virginia (Marietta Memorial Hospital, Selby General Hospital, og Sistersville General Hospital), forårsager radiologi eksamener og kirurgiske operationer, der skal annulleres. Ifølge FBI, benytter gruppen brugerphishing e-mails med ondsindede vedhæftede filer for at få adgang til netværk, så angriberne til at bevæge sig sidelæns hen over netværket for at stjæle data og inficere flere maskiner.

HiveLeaks

Ud over at kryptere filer, stjæler Hive også følsomme data fra netværk, truer med at offentliggøre alt på deres egen oprettede HiveLeak hjemmeside. Denne side ligger på Darknet, som det er en almindelig praksis blandt ransomware operatører der arbejder med den såkaldte dobbelte afpresningsordning.

Der er to hjemmesider der vedligeholdes af gruppen, den første er beskyttet af brugernavn og adgangskode, kun tilgængelig for de ofre, der får legitimationsoplysninger i løsesum notat. Den anden er den officielle, selvom der ikke står ret meget i forhold til andre.

Hive Ransomware bruger følgende taktikker og teknikker

Hive Ransomware bygger på et varieret sæt af taktikker, teknikker og procedurer, hvilket gør det særligt vanskeligt for organisationer at forsvare sig mod disse angreb.

Blandt de metoder, som banden bruger til at få indledende adgang og så derfra bevæge sig til andre servere på netværket. Gruppen har med held benyttet phishing e-mails med ondsindede vedhæftede filer og Remote Desktop Protocol.

FBI siger, at før implementering af krypteringsrutine, stjæler Hive ransomwaren filer, de anser værdifulde. Dernæst presse offeret til at betale løsesummen under trussel om en dataleak. Softwaren søger efter processer til sikkerhedskopier, fil kopiering, og sikkerhedsløsninger (som Windows Defender), der ville hindre datakryptering opgave og afslutter dem.

Efter denne fase bliver der automatisk lagt et hive.bat script, der udfører en oprydningsrutine ved at fjerne sig selv efter at have slettet den eksekverbare Hive malware.

Et andet script kaldet shadow.bat  har til opgave at slette diskbilleder, sikkerhedskopier og øjebliksbilleder af systemet og derefter fjerner den sig selv fra den kompromitterede vært. Angiveligt overskrives logfiler samtidigt.

Flere Hive ransomware ofre har rapporterede at de bliver kontaktet af angriberen der beder dem om at betale løsesummen i bytte for de stjålne filer.

Den oprindelige frist for betaling svinger mellem 2 til 6 dage, men aktørerne har forlænget fristen flere gange.

Sammen med indikatorer for kompromis (IOC), giver FBI giver også et link til truslen lækage site, en detalje, der typisk er skjult i tekniske rapporter.

Nogle af de filer, der kan ses på Darknet i forbindelse med Hive ransomware angreb omfatter følgende:

  • Winlo.exe – bruges til at droppe 7zG.exe, en legitim version af 7-Zip fil archiver
  • 7zG.exe – version 19.0.0 af 7-Zip fil archiver
  • Winlo_dump_64_SCY.exe – bruges til at kryptere filer med . KEY udvidelse og til at droppe løsesum notat  HOW_TO_DECRYPT.txt

FBI bemærker, at truslen også er afhængig af fildelingstjenester, mange af dem anonyme, ligesom Anonfiles, MEGA, Send.Exploit, Ufile, eller SendSpace.

Selv om Hive Ransomware først blev observeret i slutningen af juni, har de haft succes med infiltrering og Ransomware for mere end 30 organisationer denne sommer, en optælling, der kun omfatter ofre, der nægtede at betale løsesummen. Min vudering er at en er omkring 200 ofre indtil nu. Men tallet er ikke officielt.

Vi kender dog mange der nægter, og det er typisk offentlige institutioner. En af dem var Memorial Health System, som er en udbyder af et netværk af tjenester, der omfatter tre hospitaler og udbydere, der repræsenterer i alt 64 klinikker.

De filer som er offentliggjort er databaser, der indeholder oplysninger, der tilhører mere end 200.000 patienter. Det er både fotos og patientjournaler.

FBI anbefaler ikke at betale truslen aktører til at afskrække derefter fra at fortsætte aktiviteten. Desuden er der ingen garanti for, at angriberen vil ødelægge de stjålne data i stedet for at sælge det eller give det til medkriminelle.

Uanset ransomware ofrets beslutning om at betale eller ej, FBI opfordrer virksomheder til at rapportere R ansomware hændelser til det lokale felt kontor til at hjælpe efterforskere med kritiske oplysninger til at spore angriberne, “holde dem ansvarlige i henhold til amerikansk lovgivning, og forhindre fremtidige angreb.”

Scroll til toppen