CEO’su ve kurucu ortağı Aaron Sandeen tarafından
Haziran 2021’den beri Hive Ransomware, fidye yazılımı sahnesine hakim durumda. Erişimleri, Hive’ın toplam 100 milyon dolarlık fidye ödemesi almasıyla sonuçlanmaktan daha fazlasını etkiledi. Yarattıkları onca heyecanla, en üretken fidye yazılımı gruplarından biri unvanını kazanmalarına şaşmamak gerek.
Hive Ransomware Tarihi
Hive genellikle kar amacı gütmeyen kuruluşların, perakendecilerin, enerji sağlayıcıların, sağlık tesislerinin ve benzer alanlardaki diğerlerinin peşine düşer. Hive, Haziran 2021’den bu yana günde ortalama üç şirketi hedefliyor. Hive, yalnızca dört ayda dünya çapında 350’den fazla kuruluşa başarılı bir şekilde sızdı.
2022’nin sonunda, eğitim sektörü fidye yazılımı saldırılarında artış gördü. Kasım ve Aralık 2022 arasında, beşi K-12 üniversitelerine ve okullarına yönelik olmak üzere, ifşa edilmiş ve onaylanmış 24 fidye yazılımı saldırısı gerçekleştirildi. Artık Hive’ın bu saldırılardan birkaçının arkasında olduğunu biliyoruz çünkü çalınan verileri halka açık sitelerinde sızdırdılar.
Kovanın Yapısını Bozmak
Hive, hizmet olarak fidye yazılımı operasyonunu, kötü amaçlı yazılımları yöneten ve oluşturan geliştiricilerden oluşan bir ekip etrafında inşa etti. Ardından bağlı kuruluşlar, ilk erişim aracılarından etki alanları satın alarak hedef ağlara saldırılar gerçekleştirir. Hive, operatörlerini hedeflerine standart bir çift şantajlı fidye yazılımı saldırısı gerçekleştirmek için kullanır; burada onlar sistemleri şifreler, hassas dosyaları çalar ve ardından özel verilerinin halka ifşa edilmemesi karşılığında kurbandan fidye ödemesi talep eder.
Hive kurbanlarını rastgele hedef alıyor gibi görünse de, değerlendirmelerini hızlı finansal kazançlar için kurbanı ne kadar kolay tehlikeye atabileceklerine dayandırdıkları sonucuna varılabilir. Hive, herhangi bir fidye ödemesi müzakeresine girmeden önce hedef almaya karar verdikleri organizasyonu derinlemesine inceleyecektir. Tipik olarak, Hive fidye için şirketin yıllık gelirinin yüzde 1’ini isteyecektir. Hive’ın fidye taleplerini hızla azalttığı unutulmamalıdır. Müzakereleri yoluyla birkaç önemli indirim sunacaklar.
Hive, kötü oyuncularını başarılı bir şekilde müşteri hizmetleri çalışanları olarak gizledi. Hive tuzağa düştüğünde, kurbanlarının şifreleme sırasında sağlanan sahte bir “müşteri hizmetleri” bağlantısı aracılığıyla bir müşteri hizmetleri temsilcisiyle iletişim kurmasına izin verir. Kurban bağlantıya tıkladığında, Hive’ın fidye yazılımı grubu doğrudan kurbana bağlanır. Oradan, kurban bir Hive üyesiyle canlı sohbete girer ve daha sonra bir fidye ödemesi için pazarlık yapacaktır.
Hive Ransomware, Mart 2022’de VMware ESXi Linux şifreleyicisine yeni eklemeler ekledi. Hive ayrıca Rust programlama diline de dönüştüğü için güvenlik araştırmacılarının bir kurbanın fidye müzakerelerini gözetlemesi artık daha zor.
Conti Ransomware’in Mayıs 2022’de kapatılmasının ardından üyeleri, Hive, HelloKitty, AvosLocker, BlackCat, BlackByte ve diğerleriyle iş ortaklığı yapan daha küçük gruplara ayrıldı. Hive Ransomware saflarına katılan bazı Conti üyeleri, kurbanın verilerini hem Hive’ın hem de Conti’nin sızıntı sitelerine sızdırmaya başladı.
Hive Ransomware Saldırı Metodolojisi
İlk Erişim Teknikleri:
-
Hive aktörleri, RDP, VPN ve diğer uzak ağ bağlantı protokolleri aracılığıyla tek faktörlü oturum açma bilgilerini kullanarak kurbanın ağlarına erişebilir.
-
Kovan aktörleri, aşağıdaki Microsoft Exchange güvenlik açıklarından yararlanarak kurban ağlarına erişir: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 ve CVE-2021-42321. Buna Kamuya Yönelik Uygulamadan Yararlanma denir. Hive gibi kötü aktörler, bir kurbanın ağına erişmek için yeni keşfedilen Boa güvenlik açığı olan CVE-2021-33558’i de kullanabilir.
-
Kimlik avı – Hive aktörleri, kötü amaçlı ekleri olan e-postaları dağıtarak kurbanın ağlarına erişim sağlayabilir.
Uygulamak:
Savunmadan Kaçınma:
-
Ana Bilgisayarda Gösterge Kaldırmayı Kullanın – Hive aktörleri, Windows olay günlüklerini siler. Özellikle, Sistem, Güvenlik ve Uygulama günlüklerini hedefleyeceklerdir.
-
Kayıt Defterini Değiştirin – Hive, DisableAntiSpyware ve DisableAntiVirus için kayıt defteri değerlerini 1 olarak ayarlayacaktır.
-
Savunmaları Bozma – Hive, yedeklemeler, antivirüs/casus yazılım önleme ve dosya kopyalama ile ilgili tüm işlemleri sonlandırmaya çalışacaktır.
Sızma:
Darbe:
-
Etki için Şifrelenmiş Verileri Kullanın – Hive aktörleri, kurbanlara etkilenen her dizine *.key dosyasının değiştirilemeyeceğini, yeniden adlandırılamayacağını veya silinemeyeceğini belirten bir fidye notu gönderecektir. Aksi takdirde şifrelenmiş dosyalar kurtarılamaz.
-
Sistem Kurtarmayı Engelleyin – Kovan aktörleri, komut satırı veya PowerShell aracılığıyla vssadmin aracılığıyla mevcut tüm gölge kopyaları kaldırmaya çalışır ve birim gölge kopya hizmetlerini fiilen durdurur.
Fidye yazılımı saldırılarının etkilerini sınırlamak için, işletmeler ve kuruluşlar içinde siber güvenlik önlemlerinin alınması artık her zamankinden daha kritik. Bu özellikle eğitim ve sağlık sektörleri için geçerlidir. K-12 okulları ve üniversiteleri ödenen fidyelerde muazzam bir artış gördü ve yalnızca 2022’de tahmini 3,5 milyar dolar ödendi.
2022’de fidye yazılımıyla ilişkili güvenlik açıklarında %19’luk bir artış oldu. Şimdiye kadar fidye yazılımı grupları tarafından toplam 344 güvenlik açığından yararlanıldı ve bunlardan 156 güvenlik açığı henüz CISA’nın KEV kataloğuna eklenecek. Yaklaşık 180 güvenlik açığı, bilgisayar korsanları ve HIVE gibi kötü niyetli aktörler tarafından bir ilgi noktası olarak aktif olarak arandı.
Hive’ın fidye yazılımı tepesinin kralı olduğu dönemden çıkarılacak ders, işletmelerin güçlü bir güvenlik duruşu sürdürmelerinin zorunlu olduğudur. Tespit ve önlemeyi kurtarmaya göre önceliklendirerek tehdit aktörlerinin bir adım önünde kalarak tehlikeli riskleri azaltın. Kuruluşlar, yama uygulama tempolarını ayarlamak, fidye yazılımlarına maruz kalma durumlarını izlemek ve ağlarını daha iyi güvence altına almak için gereken öngörüyü elde edebilir.
reklam