باج افزاری هایو

36

همه چیز در مورد گروه باج افزار هایو (Hive)

در این گزارش سعی داریم تا تمامی اطلاعات اعم از ادعای دولت فدرال تا نشانه های باج افزار هایو را بررسی نماییم.

سازمان اف‌بی‌آی (FBI) جزئیات فنی و برخی از خصوصیات مربوط به حملات گروه باج افزار هایو (Hive) را افشا کرد.

اف‌بی‌آی لینک سایت نشت داده را که در آن هایو داده‌های مسروقه شرکت‌ها را منتشر می‌کند، فاش کرده است.  

این سازمان اعلام کرد باج افزار هایو قبل از آغاز رمزگذاری، فایل‌های با ارزش را سرقت می‌کند تا متعاقباً قربانی را با تهدید به انتشار آن‌ها وادار به پرداخت باج نماید. اپراتورهای هایو در دستگاه‌های هدف فرایندهای پشتیبان گیری، کپی فایل و راه‌حل‌های امنیتی همچون ویندوز دیفندر را که می‌توانند مانع رمزگذاری داده‌ها شوند، جستجو می‌کنند. 

مطالعه بیشتر: باج‌گیران سایبری به دنبال چه اطلاعاتی هستند؟

نحوه کار باج افزار هایو

سپس اسکریپت hive.bat راه‌اندازی می‌کنند که فرایند پاک‌سازی انجام داده و پس از حذف فایل اجرایی برنامه مخرب هایو، خود را حذف می‌کند.

اسکریپت دیگری به نام shadow.bat اقدام به حذف کپی‌های سایه، فایل‌های پشتیبان و اسنپ‎ شات‌ها کرده و خود را از دستگاه هک شده حذف می‌کند.

برخی از قربانیان حملات باج افزاری هایو گزارش داده‌اند مهاجمان با آن‌ها تماس گرفته و بابت فایل‌های مسروقه باج طلب کرده‌اند. مدت زمان اولیه پرداخت باج 2 تا 6 روز بوده و در برخی موارد نیز تمدید شده است.

برخی از فایل‌هایی که در حملات باج افزاری هایو مشاهده‌شده‌اند، Winlo.exe ،7zG.exe ،Winlo_dump_64_SCY.exe نام داشته‌اند. مهاجمان از سرویس‌های تبادل فایل Anonfiles ،MEGA، Send.Exploit ،Ufile یا SendSpace نیز استفاده کرده‌اند. 

قربانیان این باج افزار

گروه هایو به چندین ارائه‌دهنده خدمات پزشکی و سازمان ازجمله یک شرکت هواپیمایی اروپایی و سه شرکت در ایالات‌متحده حمله کرده است. قربانیان دیگر این گروه باج افزاری در استرالیا، چین، هند، هلند، نروژ، پرو، پرتغال، سوئیس، تایلند و انگلستان واقع‌شده‌اند.

بیشتر بخوان: شکاف امنیتی جدید در سرویس مایکروسافت کشف شد.

نشانه های آلودگی باج افزار Hive

باج افزار Hive برای اولین بار در ژوئن ۲۰۲۱ مشاهده شد که انواع مختلفی از تاکتیک ها، تکنیک ها و روش ها (TTPs) را به کار می گیرد و چالش های مهمی را برای دفاع و کاهش ایجاد می کند.

باج افزار Hive از مکانیسم های متعددی برای به خطر انداختن شبکه های تجاری استفاده می کند، از جمله ایمیل های فیشینگ با پیوست های مخرب برای دسترسی و Remote Desktop Protocol (RDP) برای حرکت در شبکه.
به گزارش آدفا و به نقل از افتا، پس از به خطر انداختن شبکه قربانی، مهاجمان باج افزار Hive داده ها را استخراج و فایل های موجود در شبکه را رمزگذاری می کنند.

مهاجمان یک یادداشت باج در هر دایرکتوری آسیب دیده در سیستم قربانی می گذارند که دستورالعمل هایی را در مورد نحوه خرید نرم افزار رمزگشایی ارائه می دهد. یادداشت باج همچنین تهدید می کند که داده های قربانیان را در سایت تور، “HiveLeaks” ، فاش می شود.

مشاوره رایگان امنیت

جزئیات فنی باج افزار هایو

باج افزار Hive به دنبال فرایندهای مربوط به پشتیبان گیری، آنتی ویروس یا ضد جاسوس افزار و کپی فایل است و آنها را غیرفعال می کند تا رمزگذاری فایل آسان شود.

 فایل های رمزگذاری شده معمولاً با پسوند hive. به پایان می رسند.

  • باج‌افزار Hive سپس یک اسکریپت hive.bat را در دایرکتوری قرار می دهد که تأخیر زمان اجرا را به مدت یک ثانیه اعمال می کند تا پس از اتمام رمزگذاری با حذف فایل اجرایی Hive و اسکریپت hive.bat، پاکسازی را انجام دهد؛
  • فایل دوم، shadow.bat، برای حذف کپی های سایه، از جمله نسخه های پشتیبان دیسک یا عکس های فوری، بدون اطلاع قربانی، در پوشه قرار می گیرد و سپس فایل shadow.bat را حذف می کند.

 در طول فرایند رمزگذاری، نام فایل های رمزگذاری شده با پسوند key.hive.* یا *.key. *است. یادداشت باج “HOW_TO_DECRYPT.txt” در هر دایرکتوری آسیب دیده ریخته می شود و کلید * را نشان می دهد. فایل را نمی توان تغییر داد، تغییر نام داد یا حذف کرد، در غیر این صورت فایل های رمزگذاری شده قابل بازیابی نیستند.

مطالعه بیشتر: اقدامات لازم برای کارمندان جهت جلوگیری از حملات در فضای سایبری

نشانه های آلودگی (IoC)

نمونه یادداشت باج

شبکه شما نقض شده است و همه داده ها رمزگذاری شده اند.

برای جلوگیری ازدست دادن اطلاعات خود، دستورالعمل های زیر را دنبال کنید:

  • – کامپیوترهای خود را خاموش یا راه اندازی مجدد نکنید، ذخیره سازهای اکسترنال را جدا نکنید.
  • – سعی نکنید داده ها را با استفاده از نرم افزار دیگر رمزگشایی کنید. ممکن است باعث آسیب جبران ناپذیر شود.
  • – خودت را گول نزن. رمزگذاری دارای رمزنگاری کامل است و رمزگشایی بدون دانستن کلید غیرممکن است.
  • – فایل های key.k۶thw.* را تغییر، تغییر نام یا حذف نکنید. در این صورت داده های شما غیر قابل رمزگشایی خواهند بود.
  • – فایل های رمزگذاری شده را تغییر ندهید و تغییر نام ندهید، آنها را از دست خواهید داد.
  • – به مقامات گزارش ندهید، در این صورت روند مذاکره خاتمه خواهد یافت و بلافاصله کلید پاک می شود.
  • – خرید را رد نکنید، در غیر این صورت اطلاعات حساس شما به صورت عمومی افشا خواهد شد.

موارد توصیه شده برای کاهش آسیب پذیری

  •  پشتیبان گیری از اطلاعات مهم به صورت آفلاین.
  • •    اطمینان حاصل کنید که کپی داده های مهم در کلود یا در یک هارددیسک خارجی یا دستگاه ذخیره سازی است.
  • •    پشتیبان گیری خود را ایمن کنید و اطمینان حاصل کنید که داده ها برای اصلاح یا حذف از سیستم محل نگهداری داده ها در دسترس نیستند.
  • •    از احراز هویت دومرحله ای با گذرواژه های قوی، از جمله برای سرویس های دسترسی از راه دور استفاده کنید.
  • •    گزارش تهدیدات سایبری را در مورد انتشار ورود به سیستم VPN آسیب دیده نظارت کنید.
  • •    اعتبارنامه و در صورت لزوم گذرواژه ها و تنظیمات را تغییر دهید.
  • •    رایانه ها، دستگاه ها و برنامه ها را وصله کرده و به روز نگه دارید.
  • •    به طور مرتب نصب نرم افزار ضدویروس یا ضد بدافزار را روی همه میزبان ها انجام دهید.
  • •    منابع اضافی زیر را مرور کنید.
  • •    مشاوره مشترک استرالیا، کانادا، نیوزلند، انگلستان و ایالات متحده در زمینه رویکردهای فنی برای کشف و رفع فعالیت های مخرب، راهنمایی های بیشتری در هنگام شکار یا تحقیق در مورد شبکه و اشتباهات رایج برای جلوگیری از برخورد با حوادث ارائه می دهد.
  • •    راهنمای باج‌افزار مشترک مرکز تجزیه وتحلیل اطلاعات و امنیت سایبری و امنیت زیرساخت ها، بهترین شیوه ها و راه های دیگر برای جلوگیری، محافظت و پاسخ به حمله باج‌افزار را پوشش می دهد.

مطالعه بیشتر:  نکات تکمیلی برای مقابله با تهدیدات سایبری که باید توجه داشت(بخش سوم)

اگر سازمان شما تحت تأثیر یک باج‌افزار قرار گرفت، نهادهای امنیتی این اقدامات را توصیه می کنند:

  • سیستم آلوده را جدا کنید: سیستم آلوده را از همه شبکه ها بردارید و رایانه وایرلس، بلوتوث و سایر قابلیت های شبکه احتمالی دیگر را غیرفعال کنید. اطمینان حاصل کنید که همه درایوهای مشترک و شبکه قطع شده اند، چه سیمی و چه بی سیم.
  • سایر کامپیوترها و دستگاه ها را خاموش کنید: کامپیوتر(های) آلوده را خاموش و جدا کنید (یعنی از شبکه حذف کنید). 
  • هر رایانه یا دستگاه دیگری را که با رایانه (های) آلوده، شبکه ای مشترک دارند که توسط باج‌افزار رمزگذاری نشده اند، خاموش و جدا کنید؛
  •  در صورت امکان، همه رایانه ها و دستگاه های آلوده و مشکوک را در یک مکان مرکزی جمع آوری و ایمن کنید؛
  •  مطمئن شوید که هر رایانه ای که رمزگذاری شده است را به وضوح برچسب گذاری کرده اید؛
  •  خاموش کردن و تفکیک رایانه ها و رایانه های آلوده که به طور کامل رمزگذاری نشده اند ممکن است بازیابی فایل های تا حدی رمزگذاری شده توسط متخصصان را ممکن سازد.
  • پشتیبان گیری خود را ایمن کنید: اطمینان حاصل کنید که داده های پشتیبان شما آفلاین و ایمن هستند. در صورت امکان، داده های پشتیبان خود را با یک برنامه آنتی ویروس اسکن کنید تا مطمئن شوید عاری از بدافزار است.

منابع:

https://securityaffairs.co/wordpress/۱۲۱۵۱۸/malware/fbi-alert-hive-ransomware.html?utm_source=rss&utm_medium=rss&utm_campaign=fbi-alert-hive-ransomware

https://www.securityweek.com/fbi-shares-iocs-hive-ransomware-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%۳A+securityweek+%۲۸SecurityWeek+RSS+Feed%۲۹

مشاوره رایگان در حوزه مرکز‌داده، ممیزی مرکز‌داده، امنیت شبکه و ...

ثبت درخواست
کارشناس فروش

کارشناس فروش
تماس با کارشناس فروش

کارشناس فروش
سلام 👋
چطور میتونم کمکتون کنم؟
1:40
989028888104
×