FBI varuje před ransomware gangem Hive

Federální úřad pro vyšetřování (FBI) vydal prohlášení, ve kterém varuje před ransomware útoky hackerského gangu HIVE. Prohlášení bylo vydáno poté co se gang zaměřil na zdravotnický systém Memorial Health System, který musel následně odstavit několik svých funkcí.

Podle Johna Riggiho, hlavního poradce pro kybernetickou bezpečnost v Americké asociaci nemocnic, se nový ransomware Hive zaměřuje zejména na zdravotnické organizace a zaútočil nejméně na 28 společností. Nezisková organizace Memorial Health System (MHS) byla ransomwarem infikována 15. srpna. V Ohiu a Západní Virginii provozuje MHS řadu nemocnic, klinik a zdravotnických zařízení.

Útok vedl k tomu, že společnost Memorial zastavila přístup uživatelů k IT aplikacím. Všechny urgentní chirurgické operace a radiologické vyšetření byly 16. srpna zrušeny, ale všechny návštěvy všeobecné péče proběhly podle plánu. Zatímco byly systémy obnoveny, personál nemocnic v síti Memorial – Marietta Memorial, Selby a Sistersville General Hospital – se musel spolehnout na papírové záznamy.

Ransomware Hive je aktivní od června 2021 a využívá model “Ransomware-as-a-Service” s širokou škálou taktik, technik a postupů (TTP). Podle vládních expertů gang používá k infiltraci do sítí obětí různé metody. Nejčastěji phishingové e-maily se škodlivými přílohami, jejichž cílem je získání přístupu a protokolu Remote Desktop Protocol (RDP).

“Po kompromitaci sítě oběti útočníci exfiltrují data a zašifrují soubory. Aktéři zanechávají v každém napadeném adresáři oběti dopis, který obsahuje pokyny, jak a především za kolik odkoupit dešifrovací software. V dopise s výkupným také hrozí, že exfiltrovaná data budou zveřejněna na webu Tor ‘HiveLeaks’,” vysvětlila FBI. “Ransomware Hive vyhledává data související se zálohováním, antivirem/anti-spywarem, kopírováním souborů a ukončuje je, aby usnadnil šifrování souborů. Šifrované soubory běžně končí příponou .hive.”

Dopis napadené subjekty odkazuje na “obchodní oddělení” skupiny, na které se lze dostat prostřednictvím prohlížeče TOR. Gang zároveň oběti vysvětlí jak ransomware poškozuje systémy a zálohy. Odkaz spojuje oběti s live chatem s pachateli, ale FBI uvádí, že některým obětem útočníci zavolali a požadovali výkupné. Většina obětí má lhůtu na zaplacení dva až šest dní, některým se však podařilo vyjednáváním lhůtu prodloužit.

O autorovi

Související články

Víte jaké budou důsledky nově vznikajícího zákona o kybernetické bezpečnosti? Přihlaste se na seminář NIS2 a nový kybernetický zákon prakticky

Web ministerstva práce i portál pro vyřizování dávek napadli hackeři

Kybernetické hrozby pro zdravotnictví. Víte, za kolik se zdravotní záznamy prodávají na černém trhu?