Feladta a leckét a Hive zsarolóvírus

​Az FBI a Hive zsarolóvírus terjedése miatt már nemcsak figyelmeztetést adott ki, hanem egy technikai leírást is a kártékony program működéséről.
 

Az FBI egyre gyakrabban publikál olyan tájékoztatókat, amelyek kiberbiztonsági kockázatokra világítanak rá. Legyen szó adathalászatról, üzleti levelezés kompromittálásáról (BEC) vagy célzott támadásokról, a szervezet minden kritikus területen igyekszik fellépni a kiberbűnözés ellen.
 
A legutóbbi figyelemfelhívása a Hive nevű zsarolóprogramhoz kötődik, amely az elmúlt hónapokban jelentős pusztítást végzett számos vállalatnál és intézménynél. Az FBI jelenleg körülbelül 30 jelentős Hive-incidensről tud, de ezek csak azok az esetek, amikor az áldozatok nem voltak hajlandóak teljesíteni a zsarolók követeléseit, és inkább a hatóságokhoz fordultak.
 
A Hive elsősorban akkor került rivaldafénybe, amikor az amerikai Memorial Health System elleni nagyszabású támadásban jutott szerephez. A 64 kórházat és egészségügyi intézményt érintő incidens során 200 ezer beteg adata szivárgott ki.
 
Dupla zsarolás
 
Az FBI szerint a Hive ellen azért nehéz fellépni, mert a károkozó számos technikát használ, és minden egyes incidens során képes újabb módszerek bevetésére. Ugyanakkor a szerzemény az esetek többségében kártékony elektronikus levelek vagy nem megfelelően védett távoli asztali (RDP) kapcsolatokon keresztül jut be a hálózatokba. Ott aztán lehetőséget ad a támadók számára, hogy módszeresen felderítsék az elérhető hálózati erőforrásokat.
 
Amikor a Hive felkerült egy számítógépre (ami szerver is lehet), akkor először lekérdezi azokat a folyamatokat, szolgáltatásokat, amelyek biztonsági mentések készítésére, vagy egyéb védelmi feladatok ellátására (például Windows Defender) szolgálnak. Ezeket leállítja annak érdekében, hogy a későbbi tevékenységét ne akadályozzák. Majd feljuttat a rendszerre egy hive.bat, valamint egy shadow.bat nevű fájlt. Ezek révén tünteti el a nyomait a fertőzés végén, valamint törli az árnyékmásolatokat, a mentett fájlokat, valamint a rendszerhelyreállítási pontokat.
 
Amikor az előkészítő tevékenységével végez, akkor elkezdi összegyűjteni az értékes adatokat tartalmazó fájlokat, adatbázisokat, amelyeket kiszivárogtat. A szerzemény előszeretettel használ széles körben ismert fájlmegosztó szolgáltatásokat (Anonfiles, MEGA, Send.Exploit, Ufile, SendSpace) is. Végül letölt egy általában Winlo_dump_64_SCY.exe nevű fájlt, amellyel titkosítja az áldozatául eső rendszeren lévő állományokat, és azok fájlnevét .KEY kiterjesztéssel egészíti ki.
 
A támadók általában 2-6 napot várnak az áldozatok jelentkezésére. Amennyiben ennyi idő alatt nem jelentkezik a pórul járt szervezet, akkor elkezdik a zsarolást a lopott adatokkal, illetve azok nyilvánosságra hozatalával.
 
Az FBI továbbra sem javasolja, hogy bárki teljesítse a zsarolók követeléseit. Korántsem biztos ugyanis, hogy a váltságdíj kifizetését követően a csalók valóban elállnak a követeléseiktől, másrészt ezzel csak még inkább felbőszülnek. A legfontosabb a megelőzésre helyezni a hangsúlyt, ami persze nem könnyű feladat.