Вымогательское ПО стало одной из главных киберугроз 2020-2021 года. Попавшие под удар жертвы вынуждены платить огромные выкупы, поскольку в противном случае им угрожает остановка работы и репутационные риски. Этот способ преступного заработка привлекает всё больше криминальных группировок, поскольку для входа в «бизнес» им уже не нужны технические знания и набор хакерских инструментов — всё необходимое предоставляют профессиональные команды, работающие по модели «вымогатель как услуга» (ransomware-as-a-service, RaaS). Вымогательская группировка Hive, о которой пойдёт речь в этой статье, — один из ярких представителей этого сегмента киберпреступного бизнеса. Они предоставляют ПО в аренду своим «аффилиатам», получая процент с каждой успешной вымогательской операции.
Важное о вымогателях Hive
В отличие от своих коллег по преступному цеху вымогатели Hive даже не пытаются создать видимость этичного поведения. Они не избегают атак на критически важные огранизации или отрасли и не переживают о том, что могут причинить вред людям. Об этом свидетельствует их атака на информационную систему здравоохранения, из-за блокировки которой остановилась работа трёх больниц в американских штатах Огайо и Западная Вирджиния. Атака привела к закрытию отделений неотложной помощи, отмене срочных хирургических операций и радиологических обследований. Из-за шифрования файлов персонал больниц был вынужден использовать бумажные карты.
В этой атаке операторы Hive использовали двойную технику вымогательства: они не только зашифровали данные, но и похитили информацию о пациентах и потом угрожали опубликовать её на HiveLeaks, специальном сайте утечек в сети Tor — там банда делится списком жертв, которые не заплатили выкуп, и размещает украденные конфиденциальные сведения.
Создатели Hive далеки от того, чтобы почивать на лаврах и наслаждаться благами. Они постоянно развивают свой набор инструментов. Например, в конце октября 2021 года исследователи обнаружили, что у Hive появились новые утилиты, специально разработанные для шифрования систем Linux и FreeBSD.
Hive держат руку на пульсе, отслеживая наиболее эффективные методы своих коллег, поэтому совершенно логичным развитием их активности стало переориентирование на атаки против самых богатых потенциальных жертв. Так, в январе 2022 года они атаковали крупного швейцарского автодилера, доход которого за 2020 год составил 3,29 млрд долларов США.
Как организована работа Hive
Сайт утечек не дает полного представления о масштабах деятельности группировки, поскольку там размещается лишь список «непокорных» жертв, отказавшихся платить выкуп. По данным Trend Micro, транснациональной компании-разработчика ПО для обеспечения кибербезопасности, с момента первого обнаружения группы в июне 2021 года аффилиаты Hive заражали в среднем три компании в день. А исследователи, получившие доступ к панели администратора сайта Hive в сети Tor, обнаружили, что число организаций, системы которых были взломаны, достигло 355-ти с сентября по декабрь 2021 года.
Эксперты выяснили, что владельцы Hive создали вымогательский комплекс, который обеспечивает максимальную простоту и прозрачность, особенно в части внедрения в системы жертв и переговоров о выкупе. Оказалось, что арендатор вредоносного ПО может создать «свою» версию шифровальщика в течение 15 минут, а переговоры о выкупе ведутся через администраторов Hive, которые передают сообщения жертвам в окне чата.
Аффилиаты, имеющие доступ к панели Hive, могут видеть, сколько денег было собрано, какие компании заплатили выкуп и чьи данные были опубликованы на сайте утечек.
Акцент группы на операционной эффективности и прозрачности является ключом к привлечению новых аффилированных лиц. Это говорит о том, что группа стремится к устойчивому развитию, создавая условия, благоприятные для привлечения более крупной и сильной партнёрской базы.
Самые пострадавшие страны и отрасли
По данным систем обнаружения Trend Micro, больше всего атак Hive наблюдалось в Южной Америке. Основная масса вымогательских инцидентов пришлась на Аргентину, а на втором месте оказалась Бразилия. Соединённые Штаты Америки занимают третье место.
Источник (здесь и далее): Trend Micro Smart Protection Network
Наибольшее количество попыток атак — 186 — было зафиксировано в энергетическом секторе. На втором месте здравоохранение — 125 атак. На третьем месте финансовый сектор — 102 обнаружения.
Изучение информации на сайте HiveLeaks показывает количество скомпрометированных компаний, отказавшихся платить выкуп. В период с 1 декабря 2021 года по 28 февраля 2022 года самое большое количество пострадавших зафиксировано в Северной Америке — 45,2%, на втором месте Европа — 29,0%, Латинская Америка на третьем с 12,9%.
Отраслевые предпочтения операторов Hive показывают, что больше всего непокорных жертв обнаружилось среди технологических компаний. За ними следуют организации из сфер здравоохранения и транспорта. Среди других пострадавших отраслей — строительство, медиа и развлечения, профессиональные услуги, розничная торговля, материалы, автомобилестроение, одежда и мода.
Рекомендации по защите
Чтобы защититься от вымогательских угроз, организациям необходимо создать комплексную систему безопасности в соответствии с лучшими практиками:
проведите инвентаризацию активов и данных;
определите авторизованные и неавторизованные устройства и программное обеспечение;
проведите аудит журналов событий и инцидентов.
организуйте управление конфигурациями аппаратного и программного обеспечения;
предоставляйте административные права только когда это действительно необходимо для работы;
организуйте мониторинг сетевых портов, протоколов и служб;
включите конфигурации безопасности на устройствах сетевой инфраструктуры, таких как брандмауэры и маршрутизаторы;
создайте «белый» список разрешённых программ на серверах и рабочих местах пользователей и запретите выполнения всех остальных;
регулярно проверяйте наличие известных уязвимостей;
выполняйте исправления или виртуальные исправления для операционных систем и приложений;
обновляйте программное обеспечение и приложения до последних версий;
разработайте и внедрите стратегию резервного копирования и восстановления данных;
включите многофакторную аутентификацию (MFA);
используйте анализ в «песочнице» для блокирования вредоносных электронных писем;
разверните самые свежие версии решений безопасности на всех уровнях системы, включая электронную почту, рабочие места, веб и сеть;
используйте передовые технологии обнаружения, например, технологии, основанные на искусственном интеллекте и машинном обучении;
регулярно обучайте сотрудников в области безопасности и оценивайте их навыки;
проведите тестирование ваших систем на проникновение, чтобы выявить и устранить уязвимости.
