11月17日,美國聯邦調查局FBI、網路安全和基礎設施安全域性CISA以及衛生與公眾服務部HHS聯合釋出了一則關於Hive勒索軟體的聯合網路安全公告。該公告上寫道,根據FBI的資訊,截至2022年11月,Hive勒索軟體團伙已使全球1300多家公司受害,收取了約1億美元的贖金。
Hive屬於常規的勒索軟體,遵循勒索軟體即服務RaaS商業模式,由開發人員開發、維護及更新惡意軟體,而具體實施勒索軟體攻擊則交由另一方附屬公司負責。從2021年6月到2022年11月,Hive勒索軟體的主要攻擊目標為廣泛的企業和關鍵基礎設施部門,如政府設施、通訊、關鍵製造、資訊科技,尤其是醫療保健和公共衛生。根據區塊鏈分析公司Chainalysis釋出的一份報告,Hive勒索軟體是2021年收入排名前10的勒索軟體之一。
Hive攻擊者透過遠端桌面協議(RDP)、虛擬專用網路(VPN)和其他遠端網路連線協議使用單因素登入獲得對受害者網路的初始訪問許可權。在一類例項中,攻擊者繞過了多重身份驗證(MFA),並透過利用CVE-2020-12812漏洞(該漏洞使攻擊者能夠在更改使用者名稱大小寫時登入,無需輸入使用者的第二個身份驗證因素)獲得了對FortiOS伺服器的訪問許可權。
除此之外,Hive勒索軟體團伙還透過分發帶有惡意附件的網路釣魚電子郵件並利用以下針對Microsoft Exchange Server的漏洞,獲得對受害者網路的初始訪問許可權:
CVE-2021-31207 – Microsoft Exchange安全功能繞過漏洞;
CVE-2021-34473 – Microsoft Exchange遠端執行程式碼漏洞;
CVE-2021-34523 – Microsoft Exchange Server許可權提升漏洞。
在獲得訪問許可權後,Hive勒索軟體會鎖定並終止與備份、防病毒/反間諜軟體以及檔案複製相關的程式,為後續檔案加密清理障礙;接著會停止卷影複製服務,並透過命令列的vssadmin或PowerShell刪除全部現有卷影副本;最後,Hive會刪除Windows事件日誌,特別是系統、安全和應用程式日誌。
據稱,Hive勒索軟體團伙可能是使用Rclone和雲端儲存服務Mega來洩露資料的。除針對Microsoft Windows作業系統外,Hive勒索軟體也有被發現存在Linux、VMware ESXi和FreeBSD的已知變體。
針對Hive勒索軟體,FBI、CISA和HHS為各機構列舉了一系列緩解措施,以期能夠減少勒索軟體事件發生的可能性及造成的影響。具體請看:https://www.cisa.gov/uscert/ncas/alerts/aa22-321a
編輯:左右裡
資訊來源:CISA
轉載請註明出處和本文連結
每日漲知識
密碼雜湊演算法(hash algorithm)
又稱雜湊演算法、密碼雜湊演算法或雜湊演算法。該演算法將一個任意長的位元串對映到一個固定長的位元串,且滿足下列三個特性:
(1)為一個給定的輸出找出能對映到該輸出的一個輸入是計算上困難的;
(2)為一個給定的輸入找出能對映到同一個輸出的另一個輸入是計算上困難的。
(3)要發現不同的輸入對映到同一輸出是計算上困難的。
﹀
﹀
﹀