FBI har sendt ut en advarsel mot løsepengeforetaket Hive etter at gruppen tok ned systemet ved Memorial Health System 15. august.
Ondsinnede vedlegg åpner dørene
I advarselen understrekes det at Hive er et “affiliate-operert” løsepengevirus som første gang ble registrert i juni. Det anvender “flere mekanismer for å kompromittere virksomhetsnettverk, herunder phishing-e-post med ondsinnede vedlegg som åpner adgang og Remote Desktop Protocol til når den er på nettverket”.
Når de har kompromittert et nettverk, exfiltrerer Hive data og krypterer filer på nettverket. Aktørene etterlater et løsesum-notat i hver berørte mappe i offerets system. Den gir instruksjoner om hvordan man kjøper dekrypteringsprogramvare. I notatet trues det også med å lekke exfiltrerte data på Tor-webstedet ‘HiveLeaks’. Hive søker opp prosesser relatert til sikkerhetskopiering, anti-virus/anti-spyware og filkopiering, og avslutter dem for å lette filkrypteringen. De krypterte filene slutter vanligvis med en .hive-utvidelse.
FBI
Ofrene omdirigeres til Hives “salgsavdeling”
I advarselen forklares det hvordan løsepengeviruset ødelegger systemer og sikkerhetskopier før ofrene dirigeres til gruppens “salgsavdeling” via Tor. Ofrene får en betalingsfrist på to til seks dager.
Særlig bekymrende for helseforetak
American Hospital Association melder at Hive er særlig bekymrende for helseforetak. Hive har inntil videre angrepet minst 28 organisasjoner, herunder Memorial Health System som driver en rekke hospitaler, klinikker og helseforetak i USA.
Annonse
Alle akutte kirurgiske og radiologiske undersøgelser ble avlyst mandag 16. august på grunn av angrepet. Pasienter med akutt behov for hjelp ble transportert til andre hospitaler.
Påbegynt gjenopprettingen
Memorial Health System melder at de “nådde frem til en forhandlet løsning og har påbegynt prosessen som vil gjenopprette driften”.
Annonse
