، مجموعة برامج الفدية Hive ، اخترقت بالفعل أكثر من 30 مؤسسة وشركة.
أصدر مكتب التحقيقات الفيدرالي الأمريكي (FBI) تفاصيل فنية ومؤشرات الاختراق فيما يتعلق بهجمات Hive ransomware. قدمت الوكالة أيضًا رابطًا إلى موقع خرق البيانات حيث تنشر المجموعة البيانات المسروقة من الشركات.
وفقًا لمكتب التحقيقات الفيدرالي ، يستخدم مشغلو Hive مجموعة واسعة من التكتيكات والتقنيات والإجراءات التي تجعل من الصعب الدفاع ضد هجماتها. يحصل المجرمون على وصول مبدئي إلى شبكات الضحايا عبر رسائل التصيد الاحتيالي التي تحتوي على مرفقات ضارة وبروتوكول سطح المكتب البعيد (RDP).
تقوم Hive Ransomware بسرقة الملفات التي يعتقد المتسللون أنها ذات قيمة قبل تشفيرها لإجبار الضحية على دفع فدية تحت تهديد تسرب البيانات. يعتقد الخبراء أن المجرمين الإلكترونيين يبحثون في أجهزة الكمبيوتر عن عمليات النسخ الاحتياطي ونسخ الملفات وحلول الأمان (مثل Windows Defender) التي يمكنها التدخل في مهام تشفير البيانات وإنهائها.
يتبع ذلك تنفيذ النص البرمجي hive.bat ، الذي ينفذ إجراء تنظيف بعد إزالة ملف Hive الضار القابل للتنفيذ.
الظل هو اسم نص برمجي آخر. يحذف الخفاش نفسه من الجهاز المخترق بعد إزالة النسخ الاحتياطية وملفات النسخ الاحتياطي ولقطات حالة النظام.
أفاد بعض ضحايا Hive ransomware أن المهاجمين اتصلوا بهم وطالبوا بدفع فدية مقابل الملفات المسروقة. تتراوح فترة السداد الأولية من 2 إلى 6 أيام ، ولكن قد تقوم المجموعة بتمديدها في بعض الحالات.
Winlo.exe (يُستخدم لإزالة الإصدار الشرعي من ملف أرشيفي 7zG.exe) ، و 7zG.exe (الإصدار 19.0.0 من أرشيف ملفات 7-Zip) ، و Winlo تفريغ 64 SCY.exe (يُستخدم لتشفير الملفات باستخدام ملحق .KEY ولتنزيل مذكرة الفدية (HOW TO DECRYPT.txt) من بين الملفات التي شوهدت في هجمات Hive ransomware.
وفقًا لمكتب التحقيقات الفيدرالي ، يستخدم المهاجمون أيضًا خدمات مشاركة الملفات مثل Anonfiles أو MEGA أو Send.Exploit أو Ufile أو SendSpace.
استهدفت مجموعة Hive بالفعل العديد من مقدمي الرعاية الصحية والمؤسسات ، بما في ذلك شركة طيران أوروبية وثلاث شركات أمريكية. تشمل البلدان الأخرى المتأثرة بهذا الفدية أستراليا والصين والهند وهولندا والنرويج وبيرو والبرتغال وسويسرا وتايلاند والمملكة المتحدة.
0 تعليقات