Hier ist der Grund, warum das FBI eine Warnung vor Hive Ransomware herausgegeben hat

Eskere Guru

Verschiedene Ransomware-Banden zielen auf bestimmte Branchen ab und verlangen ein Lösegeld, um eine Unterbrechung der Dienste zu verhindern. Während dies ein Albtraum für das Gesundheitswesen ist, ist die Ransomware-Gang Hive aufgetaucht und hat allein in diesem Jahr mehrere Angriffe durchgeführt. Es ist ein besonders böses Beispiel für Ransomware.

Um die Schwere der Besorgnis auszuräumen, veröffentlichte das FBI eine öffentliche Erklärung mit technischen Informationen zur Hive-Ransomware. Wie funktioniert die Hive-Ransomware? Und wie können Sie sich schützen?

Was ist Hive-Ransomware?

Die Hive-Ransomware rückte im Juni 2021 ins Rampenlicht. Im Gegensatz zu einigen anderen Ransomware-Angriffen handelt es sich vermutlich um Affiliate-basierte Ransomware. Mit anderen Worten, es verwendet ein Ransomware-as-a-Service-Modell.

Jeder Kriminelle könnte mit diesem Geschäftsmodell Ransomware-Angriffe durchführen und davon profitieren, ohne zu wissen, wie alles funktioniert. Ja, ohne eine einzige Codezeile zu kennen, kann ein Angreifer mit Ransomware-Angriffen beginnen.

Verwandte: Was ist Ransomware?

Das FBI warnt vor Hive-Ransomware

Kürzlich traf die Ransomware-Gruppe am 15. August das Memorial Health System, was sie zwang, Operationen abzusagen und Patienten für eine Weile umzuleiten.

Und so hat das FBI eine Warnung veröffentlicht, damit die Öffentlichkeit weiß, worauf sie achten muss, und nach der berüchtigten Ransomware-Gruppe Hive Ausschau halten.

So funktioniert Hive Ransomware

Hive-Ransomware wendet eine Vielzahl von Taktiken, Techniken und Verfahren (TTPs) an, um sicherzustellen, dass der Angriff effektiv ist.

Es bedarf des traditionellen Phishing-Ansatzes, um ein System zu beeinträchtigen, bei dem Sie eine bösartige Datei erwarten können, die an eine E-Mail angehängt ist. Die Datei sieht vielleicht harmlos aus, aber die Ransomware gelangt auf Ihr System und beginnt zu arbeiten, sobald Sie darauf zugreifen.

Hier ist der Grund, warum das FBI eine Warnung vor Hive Ransomware herausgegeben hat - phishing illustration

Die Hive-Ransomware durchsucht Ihr System auch nach allen Prozessen im Zusammenhang mit der Sicherung, dem Virenschutz oder anderen Sicherheitsmaßnahmen sowie dem Kopieren von Dateien. Und dann beendet es all diese Prozesse, um die Abwehrmechanismen zu versenken.

Einmal infiziert, verschlüsselt es Dateien im Netzwerk und fordert ein Lösegeld zusammen mit einer Warnung, die Dateien an sein „HiveLeaks“-Portal weiterzugeben, auf das Sie nur über den Tor-Browser zugreifen können.

Sie können die betroffenen Dateien mit der Erweiterung .hive erkennen . Die Hive-Ransomware schiebt auch ein .bat- Skript in das betroffene Verzeichnis, um die Dateien zu bereinigen, nachdem die Verschlüsselung abgeschlossen ist.

Nach der Bereinigung Ihrer Originaldateien wird auch ein zweites shadow.bat- Skript von der Ransomware abgelegt, um alle gefundenen Schatten- oder Sicherungskopien Ihrer Daten zu bereinigen.

Verwandte: Cryptojacking vs. Ransomware: Was ist der Unterschied?

Alles geschieht, ohne den Benutzer zu benachrichtigen. Sie werden seine Anwesenheit also nur bemerken, wenn Sie auf ein Verzeichnis mit .hive- verschlüsselten Dateien stoßen . Sie werden außerdem eine Textdatei bemerken, die Sie anweist, wie Sie die Dateien entschlüsseln. Dadurch gelangen Sie zu einem Link zur Vertriebsabteilung, auf den Sie über den Tor-Browser zugreifen können und der Sie für einen Live-Chat mit den Ransomware-Angreifern verbindet.

Sie haben dann zwei bis sechs Tage Zeit, um das Lösegeld zu zahlen. Sie könnten es verlängern, wenn Sie in Verhandlungen mit ihnen sind.

So schützen Sie sich vor Hive-Ransomware

Hive-Ransomware verlässt sich auf Phishing-E-Mails, um Benutzer mit legitimer Software zu täuschen, die für Ihr Unternehmen von entscheidender Bedeutung sein könnte. Sie können beispielsweise aufgefordert werden, eine ausführbare 7zip-Datei (legitimierte Software) herunterzuladen und von der Ransomware betroffen zu sein.

Die Angreifer scheinen auch File-Sharing-Dienste wie MEGA, SendSpace und ähnliches zu verwenden, während sie den Dateilink harmlos und vertrauenswürdig erscheinen lassen.

Halten Sie also Ausschau nach verdächtigen Links. Sie müssen auch überprüfen und bestätigen, bevor Sie ausführbare Dateien auf Ihren Computer herunterladen. Klicken Sie auf nichts, bei dem Sie sich nicht hundertprozentig sicher sind.

Darüber hinaus sollten Sie die Cloud oder ein separates Speicherlaufwerk (nicht mit Ihrem Netzwerk verbunden) verwenden, um alle Ihre kritischen Daten zu sichern, um die Zahlung des Lösegelds zu vermeiden.