بر اساس بولتن از سازمان ملی امنیت سای بری CISA، گروه باج افزار مرتبط با روسیه Hive در صدر فهرست تهدیدهای مقامات ایالات متحده قرار دارد. و از زمانی که برای اولین بار ظاهر شد، حدود 100 میلیون دلار از بیش از 1300 شرکت در سراسر جهان اخاذی کرده است.
CISA میگوید: «باج افزار Hive از باج افزار بهعنوان یک مدل سرویس پیروی میکند، که در آن توسعه دهندگان بد افزار را ایجاد، نگهداری و به روزر سانی میکنند و شرکتهای وابسته حملات باج افزار را انجام میدهند».
Hive یک لقب است که هم به این گروه چتر و هم به شرکای آن داده شده است و بد افزاری است که از آن برای نفوذ به شرکتهای هدف و استخراج دادههای آنها استفاده میکند، سپس رمز گذاری شده و تنها پس از پرداخت هزینه یا باج به مالک بازگردانده میشود.
CISA گفت: «پیش از رمز گذاری، باج افزار Hive تعاریف ویروس را حذف میکند و تمام بخشهای Windows Defender و سایر برنامههای رایج آنتی ویروس را در رجیستری سیستم غیرفعال میکند.
(پلیر های Hive دادهها را احتمالاً با استفاده از ترکیبی از Rclone و سرویس ذخیره سازی ابری Mega.nz استخراج میکنند).
باج افزار Hive علاوه بر استقرار در برابر سیستم عامل ویندوز مایکروسافت، انواع مختلفی دارد که به آن اجازه ی استفاده در برابر لینوکس، VMware ESXi و FreeBSD را نیز به همان شیوه می دهد.
دسته ای از حملات
CISA افزود که از ژوئن سال گذشته، عوامل تهدید کننده ای را مشاهده کرده است که از باج افزار Hive برای هدف قرار دادن طیف گسترده ای از مشاغل و بخش های زیرساختی حیاتی، (به ویژه خدمات مراقبت های بهداشتی) استفاده می کنند.
روشهای نفوذی آن با توجه به هدف خاص متفاوت بود، اما شامل ورود تک عاملی از طریق پروتکل دسترسی از راه دور (اساسا ربودن یک سیستم کامپیوتری از راه دور) و ارسال ایمیل های مهندسی اجتماعی یا فیشینگ با لینک های مخرب، برای فریب دادن کارکنان در به خطر انداختن تصادفی سیستمهای کار فرما ها شان بود.
CISA اضافه کرد که عوامل تهدید Hive را نیز مشاهده کرده است بطوریکه آنها از شبکه های خصوصی مجازی (VPN)– احتمالاً برای پنهان کردن لوکیشن واقعی شان از قربانیان و حتی دور زدن سیستم های احراز هویت چند عاملی با سوء استفاده از «آسیب پذیری ها و مواجهه های رایج – استفاده می کنند.
CISA و سایر نهادهای مشابه به طور مرتب به روز رسانی هایی را برای دومین مورد که به عنوان CVE شناخته می شود، منتشر می کنند که به عنوان آخرین اطلاعیه بر تداوم تهدید Hive تأکید می کند.
پیشگیری نه پرداخت باج
CISA و شریک آن، اداره تحقیقات فدرال (FBI)، از سازمان های هدف می خواهند که باج را پرداخت نکنند، بلکه در عوض اقدامات پیشگیرانه را انجام دهند، از جمله انجام paching (فشرده سازی) به طور مرتب طبق اعلان های CVE و همچنین نصب به روز رسانی ها برای سیستم های عامل، نرم افزار، و فریمور به محض اینکه در دسترس قرار بگیرند، می باشد.
CISA می گوید: «پرداخت باج ممکن است دشمنان را برای هدف قرار دادن سازمان های دیگر هم تشویق کند و همچنین دیگر مجرمان را به مشارکت در توزیع باج افزار و/یا تأمین مالی فعالیت های غیرقانونی تشویق کند». “پرداخت باج همچنین تضمین نمی کند که پرونده های قربانیان بازیابی شوند.”.