Федеральное бюро расследований (ФБР) опубликовало некоторые технические подробности и индикаторы компрометации, связанной с атаками программ-вымогателей Hive. 

В редких случаях ФБР включало ссылку на сайт утечки, где банда вымогателей публикует данные, украденные у компаний, которые не платили. 

Разнообразные тактики и приемы 

По данным ФБР, программа-вымогатель Hive использует разнообразный набор тактик, техник и процедур, что затрудняет защиту организаций от ее атак. 

Среди методов, которые банда использует для получения начального доступа и горизонтального перемещения по сети, есть фишинговые электронные письма с вредоносными вложениями и протокол удаленного рабочего стола (RDP).

Перед развертыванием процедуры шифрования программа-вымогатель Hive крадет файлы, которые они считают ценными, чтобы заставить жертву заплатить выкуп под угрозой утечки данных.

ФБР заявляет, что злоумышленник ищет процессы для резервного копирования, копирования файлов и решения безопасности (например, Защитник Windows), которые могут помешать задаче шифрования данных, и завершают их.

За этим этапом следует удаление сценария hive.bat, который выполняет процедуру очистки, удаляя себя после удаления исполняемого файла вредоносной программы Hive

Другой сценарий, называемый shadow.bat, выполняет задачу удаления теневых копий, файлов резервных копий и снимков состояния системы, а затем удаляет себя со скомпрометированного хоста.

ФБР сообщает, что некоторые жертвы вымогателей Hive сообщили, что злоумышленник связался с ними и попросил их заплатить выкуп в обмен на украденные файлы

«Первоначальный срок оплаты колеблется от 2 до 6 дней, но актеры продлили этот срок в ответ на контакт со стороны компании-жертвы», - отмечает агентство

Наряду с индикаторами компрометации (IoC) ФБР также предоставляет ссылку на сайт утечки злоумышленника, деталь, которая обычно скрывается в технических отчетах. 

Некоторые из файлов, наблюдаемых при атаках программ-вымогателей Hive, включают следующее: 

•Winlo.exe - используется для удаления 7zG.exe, законной версии архиватора файлов 7-Zip. 

•7zG.exe - версия 19.0.0 архиватора файлов 7-Zip 

•Winlo_dump_64_SCY.exe - используется для шифрования файлов с расширением .KEY и для удаления записки о выкупе HOW_TO_DECRYPT.txt 

ФБР отмечает, что злоумышленник также полагается на службы обмена файлами, многие из которых анонимны, такие как Anonfiles, MEGA, Send.Exploit, Ufile или SendSpace.

Хотя это было впервые замечено в конце июня, вымогатель Hive этим летом уже проник в более чем 30 организаций, в число которых входят только жертвы, которые отказались платить выкуп.

Недавняя жертва программы-вымогателя Hive - Memorial Health System , предлагающая сеть услуг, в которую входят три больницы и поставщиков, представляющих 64 клиники.

Из файлов, которые видел BleepingComputer, злоумышленник похитил базы данных, содержащие информацию, принадлежащую более чем 200 000 пациентов.