Вымогательская группировка Hive: кто под ударом и как защититься

Вымогательская группировка Hive: кто под ударом и как защититься

Вымогательское ПО стало одной из главных киберугроз 2020-2021 года. Попавшие под удар жертвы вынуждены платить огромные выкупы, поскольку в противном случае им угрожает остановка работы и репутационные риски. Этот способ преступного заработка привлекает всё больше криминальных группировок, поскольку для входа в «бизнес» им уже не нужны технические знания и набор хакерских инструментов — всё необходимое предоставляют профессиональные команды, работающие по модели «вымогатель как услуга» (ransomware-as-a-service, RaaS). Вымогательская группировка Hive, о которой пойдёт речь в этой статье, — один из ярких представителей этого сегмента киберпреступного бизнеса. Они предоставляют ПО в аренду своим «аффилиатам», получая процент с каждой успешной вымогательской операции.

Важное о вымогателях Hive

В отличие от своих коллег по преступному цеху вымогатели Hive даже не пытаются создать видимость этичного поведения. Они не избегают атак на критически важные огранизации или отрасли и не переживают о том, что могут причинить вред людям. Об этом свидетельствует их атака на информационную систему здравоохранения, из-за блокировки которой остановилась работа трёх больниц в американских штатах Огайо и Западная Вирджиния. Атака привела к закрытию отделений неотложной помощи, отмене срочных хирургических операций и радиологических обследований. Из-за шифрования файлов персонал больниц был вынужден использовать бумажные карты.

В этой атаке операторы Hive использовали двойную технику вымогательства: они не только зашифровали данные, но и похитили информацию о пациентах и потом угрожали опубликовать её на HiveLeaks, специальном сайте утечек в сети Tor — там банда делится списком жертв, которые не заплатили выкуп, и размещает украденные конфиденциальные сведения.

Создатели Hive далеки от того, чтобы почивать на лаврах и наслаждаться благами. Они постоянно развивают свой набор инструментов. Например, в конце октября 2021 года исследователи обнаружили, что у Hive появились новые утилиты, специально разработанные для шифрования систем Linux и FreeBSD.

Hive держат руку на пульсе, отслеживая наиболее эффективные методы своих коллег, поэтому совершенно логичным развитием их активности стало переориентирование на атаки против самых богатых потенциальных жертв. Так, в январе 2022 года они атаковали крупного швейцарского автодилера, доход которого за 2020 год составил 3,29 млрд долларов США.

Как организована работа Hive

Сайт утечек не дает полного представления о масштабах деятельности группировки, поскольку там размещается лишь список «непокорных» жертв, отказавшихся платить выкуп. По данным Trend Micro, транснациональной компании-разработчика ПО для обеспечения кибербезопасности, с момента первого обнаружения группы в июне 2021 года аффилиаты Hive заражали в среднем три компании в день. А исследователи, получившие доступ к панели администратора сайта Hive в сети Tor, обнаружили, что число организаций, системы которых были взломаны, достигло 355-ти с сентября по декабрь 2021 года.

Эксперты выяснили, что владельцы Hive создали вымогательский комплекс, который обеспечивает максимальную простоту и прозрачность, особенно в части внедрения в системы жертв и переговоров о выкупе. Оказалось, что арендатор вредоносного ПО может создать «свою» версию шифровальщика в течение 15 минут, а переговоры о выкупе ведутся через администраторов Hive, которые передают сообщения жертвам в окне чата.

Аффилиаты, имеющие доступ к панели Hive, могут видеть, сколько денег было собрано, какие компании заплатили выкуп и чьи данные были опубликованы на сайте утечек.

Акцент группы на операционной эффективности и прозрачности является ключом к привлечению новых аффилированных лиц. Это говорит о том, что группа стремится к устойчивому развитию, создавая условия, благоприятные для привлечения более крупной и сильной партнёрской базы.

Самые пострадавшие страны и отрасли

По данным систем обнаружения Trend Micro, больше всего атак Hive наблюдалось в Южной Америке. Основная масса вымогательских инцидентов пришлась на Аргентину, а на втором месте оказалась Бразилия. Соединённые Штаты Америки занимают третье место.

10 стран с наибольшим количеством атак Hive в период с 1 августа 2021 года по 28 февраля 2022 года.
Источник (здесь и далее): Trend Micro Smart Protection Network

Наибольшее количество попыток атак — 186 — было зафиксировано в энергетическом секторе. На втором месте здравоохранение — 125 атак. На третьем месте финансовый сектор — 102 обнаружения.

10 отраслей с наибольшим количеством попыток атак Hive в период с 1 августа 2021 года по 28 февраля 2022 года

Изучение информации на сайте HiveLeaks показывает количество скомпрометированных компаний, отказавшихся платить выкуп. В период с 1 декабря 2021 года по 28 февраля 2022 года самое большое количество пострадавших зафиксировано в Северной Америке — 45,2%, на втором месте Европа — 29,0%, Латинская Америка на третьем с 12,9%.

Региональное распределение жертв Hive в соответствии с сайтом утечек

Отраслевые предпочтения операторов Hive показывают, что больше всего непокорных жертв обнаружилось среди технологических компаний. За ними следуют организации из сфер здравоохранения и транспорта. Среди других пострадавших отраслей — строительство, медиа и развлечения, профессиональные услуги, розничная торговля, материалы, автомобилестроение, одежда и мода.

Распределение «непокорных» жертв Hive по секторам в соответствии с сайтом утечек

Рекомендации по защите

Чтобы защититься от вымогательских угроз, организациям необходимо создать комплексную систему безопасности в соответствии с лучшими практиками:

  • проведите инвентаризацию активов и данных;

  • определите авторизованные и неавторизованные устройства и программное обеспечение;

  • проведите аудит журналов событий и инцидентов.

  • организуйте управление конфигурациями аппаратного и программного обеспечения;

  • предоставляйте административные права только когда это действительно необходимо для работы;

  • организуйте мониторинг сетевых портов, протоколов и служб;

  • включите конфигурации безопасности на устройствах сетевой инфраструктуры, таких как брандмауэры и маршрутизаторы;

  • создайте «белый» список разрешённых программ на серверах и рабочих местах пользователей и запретите выполнения всех остальных;

  • регулярно проверяйте наличие известных уязвимостей;

  • выполняйте исправления или виртуальные исправления для операционных систем и приложений;

  • обновляйте программное обеспечение и приложения до последних версий;

  • разработайте и внедрите стратегию резервного копирования и восстановления данных;

  • включите многофакторную аутентификацию (MFA);

  • используйте анализ в «песочнице» для блокирования вредоносных электронных писем;

  • разверните самые свежие версии решений безопасности на всех уровнях системы, включая электронную почту, рабочие места, веб и сеть;

  • используйте передовые технологии обнаружения, например, технологии, основанные на искусственном интеллекте и машинном обучении;

  • регулярно обучайте сотрудников в области безопасности и оценивайте их навыки;

  • проведите тестирование ваших систем на проникновение, чтобы выявить и устранить уязвимости.

infosecurity Trend Micro группа хакеров защита от атак защита от угроз информационная безопасность кибербезопасность киберпреступник угрозы безопасности
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Trend Micro

Компания Trend Micro, мировой лидер в области кибербезопасности, использует многолетний опыт работы, исследований и инноваций, чтобы защитить от угроз обмен цифровой информацией во всём мире.