Вот почему ФБР выпустило предупреждение о вирусах-вымогателях Hive
Различные банды вымогателей нацелены на определенные отрасли и требуют выкуп, чтобы предотвратить нарушение работы служб. Хотя это кошмар для здравоохранения, появилась банда вымогателей Hive, осуществившая несколько атак только в этом году. Это особенно неприятный пример программы-вымогателя.
И, чтобы снизить серьезность опасений, ФБР опубликовало публичное заявление с технической информацией о программе-вымогателе Hive. Так как же работает программа-вымогатель Hive? А как защитить себя?
Что такое программа-вымогатель Hive?
В июне 2021 года внимание привлекла программа-вымогатель Hive. В отличие от некоторых других атак с использованием программ-вымогателей считается, что это программа-вымогатель, основанная на партнерских программах. Другими словами, он использует модель «программа-вымогатель как услуга».
Любой преступник может осуществлять атаки программ-вымогателей и получать от них прибыль, используя эту бизнес-модель, не зная, как все это работает. Да, не зная ни единой строчки кода, злоумышленник может приступить к атакам программ-вымогателей.
ФБР предупреждает о программах-вымогателях Hive
Недавно 15 августа группа вымогателей ударила по системе Memorial Health System, что вынудило их отменить операции и на время отвлечь пациентов.
Итак, ФБР опубликовало предупреждение для общественности, чтобы знать, на что нужно обращать внимание, и следить за печально известной группой вымогателей Hive.
Вот как работает программа-вымогатель Hive
Программа-вымогатель Hive применяет самые разные тактики, приемы и процедуры (TTP), чтобы обеспечить эффективность атаки.
Для воздействия на систему используется традиционный подход фишинга, когда вы можете ожидать, что вредоносный файл будет прикреплен к электронному письму. Файл может выглядеть безобидным, но программа-вымогатель попадает в вашу систему и начинает работать, как только вы к ней обращаетесь.
Программа-вымогатель Hive также сканирует вашу систему на наличие любых процессов, связанных с резервным копированием, антивирусом или любой другой защитой, а также копированием файлов. А затем он завершает все эти процессы, чтобы заглушить защитные механизмы.
После заражения он шифрует файлы в сети и требует выкупа вместе с предупреждением об утечке файлов на свой портал «HiveLeaks», к которому вы можете получить доступ только через браузер Tor.
Вы можете обнаружить затронутые файлы с расширением .hive . Программа-вымогатель Hive также помещает в затронутый каталог сценарий .bat, чтобы очистить файлы после завершения шифрования.
После очистки ваших исходных файлов программа- вымогатель также сбрасывает второй сценарий shadow.bat для очистки любых найденных теневых или резервных копий ваших данных.
Все происходит без уведомления пользователя. Таким образом, вы поймете его присутствие только тогда, когда встретите каталог с зашифрованными файлами .hive . Вы также заметите текстовый файл, который инструктирует вас о том, как расшифровать файлы. Вы перейдете по ссылке отдела продаж, доступной через браузер Tor, и соединит вас со злоумышленниками для проведения чата в реальном времени.
После этого у вас будет от двух до шести дней, чтобы заплатить выкуп. Они могут продлить его, если вы ведете с ними переговоры.
Как защититься от вирусов-вымогателей Hive
Программа-вымогатель Hive использует фишинговые электронные письма, чтобы обмануть пользователей легальным программным обеспечением, которое может быть необходимо для вашего предприятия. Например, вам может быть предложено загрузить исполняемый файл 7zip (законное программное обеспечение) и стать жертвой программы-вымогателя.
Похоже, что злоумышленники также используют службы обмена файлами, такие как MEGA, SendSpace и подобные им, при этом делая ссылку на файл безвредной и заслуживающей доверия.
Так что следите за подозрительными ссылками. Вам также необходимо проверить и подтвердить перед загрузкой любых исполняемых файлов на свой компьютер. Не нажимайте на то, в чем вы не уверены на 100 процентов.
В дополнение к этому вы должны использовать облако или отдельный накопитель (не подключенный к вашей сети) для резервного копирования всех ваших критически важных данных, чтобы не платить выкуп.