Hive Ransomware IOCs

Сообщается, что Hive ransomware использует широкий спектр тактик, техник и процедур (TTP) для компрометации сетей. Владельцы Hive RaaS создают персонализированные наборы ransomware, адаптированные для различных операционных систем.

Содержание

Hive Ransomware
Лучшие практики и рекомендации
Indicators of Compromise

Hive Ransomware

Hive прибегают к различным методам начальной компрометации, таким как уязвимые RDP-серверы, скомпрометированные учетные данные VPN, а также фишинговые электронные письма с вредоносными вложениями. В ходе атаки Hive обычно использует такие приложения, как Cobalt Strike, ConnectWise, ADrecon. Hive ransomware пытается сбросить учетные данные, кэшировать открытый текст учетных данных и использовать такие инструменты, как ADrecon, для "отображения, обхода и перечисления" среды Active Directory (AD).

Hive ищет процессы, связанные с резервным копированием, антивирусными/антишпионскими программами и копированием файлов, и завершает их, чтобы облегчить шифрование файлов. Зашифрованные файлы обычно имеют расширение .hive. Затем Hive ransomware подбрасывает в каталог сценарий hive.bat, который устанавливает тайм-аут выполнения на одну секунду, чтобы после завершения шифрования выполнить очистку путем удаления исполняемого файла Hive и сценария hive.bat. Второй файл, shadow.bat, забрасывается в каталог для удаления теневых копий, включая резервные копии диска или моментальные снимки, без уведомления жертвы, а затем удаляет файл shadow.bat. В процессе шифрования зашифрованные файлы переименовываются с двойным конечным расширением *.key.hive или *.key.*.

Записка с требованием выкупа "HOW_TO_DECRYPT.txt" забрасывается в каждый пораженный каталог и утверждает, что файл *key.* нельзя изменять, переименовывать или удалять, иначе зашифрованные файлы не смогут быть восстановлены. В записке содержится ссылка на "отдел продаж", доступная через браузер TOR, позволяющая жертвам связаться с действующими лицами через чат. Записка о выкупе также содержит URL сайта публичного раскрытия / утечки, который доступен через браузер TOR.

Лучшие практики и рекомендации

Поддерживайте автономное резервное копирование данных и регулярно проводите резервное копирование и восстановление. Такая практика гарантирует, что в организации не будет серьезных перебоев в работе, не будет невозвратных данных.
Убедитесь, что все данные резервного копирования зашифрованы, неизменяемы (т.е. не могут быть изменены или удалены) и охватывают всю инфраструктуру данных организации.
Все учетные записи с парольным входом (например, учетные записи служб, администраторов и администраторов домена) должны иметь надежные, уникальные пароли.
Внедрите многофакторную аутентификацию для всех служб, насколько это возможно, особенно для веб-почты, виртуальных частных сетей и учетных записей, имеющих доступ к критическим системам.
Удалите ненужный доступ к административным ресурсам
Используйте брандмауэр на базе хоста, чтобы разрешить подключение к административным ресурсам через блок сообщений сервера (SMB) только ограниченному набору машин администраторов.
Включите защищенные файлы в операционной системе Windows, чтобы предотвратить несанкционированные изменения критически важных файлов.
Отключите удаленные подключения к рабочему столу, используйте наименее привилегированные учетные записи. Ограничьте пользователей, которые могут входить в систему с помощью Remote Desktop, установите политику блокировки учетных записей. Обеспечьте надлежащее протоколирование и конфигурацию RDP
Регулярно проверяйте целостность информации, хранящейся в базах данных
Обеспечьте целостность кодов / скриптов, используемых в базе данных, аутентификации и чувствительной системе.
Установите для своего домена системы аутентификации, отчетности и соответствия сообщений на основе домена (DMARC), Domain Keys Identified Mail (DKIM) и Sender Policy Framework (SPF), которые представляют собой систему проверки электронной почты, предназначенную для предотвращения спама путем обнаружения подделки электронной почты, с помощью которой большинство образцов ransomware успешно достигают корпоративных почтовых ящиков.
Обновляйте приложения сторонних разработчиков операционной системы (MS office, браузеры, браузерные плагины) последними патчами.
Белый список приложений/строгое внедрение политик ограничения программного обеспечения (SRP) для блокирования двоичных файлов, запускаемых из путей %APPDATA% и %TEMP%. Образцы Ransomware падают и выполняются, как правило, из этих мест.
Поддерживайте обновленное антивирусное программное обеспечение на всех системах.
Не открывайте вложения в нежелательных письмах, даже если они приходят от людей из вашего списка контактов, и никогда не нажимайте на URL, содержащийся в нежелательном письме, даже если ссылка кажется доброкачественной. В случае подлинных URL-адресов закройте письмо и перейдите на сайт организации непосредственно через браузер.
Соблюдайте правила безопасности при просмотре веб-страниц. Убедитесь, что веб-браузеры достаточно защищены с помощью соответствующих средств контроля содержимого.
Сегментация сети и разделение на зоны безопасности - помогают защитить конфиденциальную информацию и критически важные сервисы. Отделите административную сеть от бизнес-процессов с помощью физических средств контроля и виртуальных локальных сетей.
Отключите содержимое ActiveX в приложениях Microsoft Office, таких как Word, Excel и т.д.
Ограничьте доступ с помощью брандмауэров и разрешите доступ только к выбранным удаленным конечным точкам, VPN также может использоваться с выделенным пулом для доступа по RDP.
Используйте надежный протокол аутентификации, например, аутентификацию на сетевом уровне (NLA) в Windows.
Дополнительные меры безопасности, которые могут быть рассмотрены:
- Использование шлюзов RDP для лучшего управления
- Изменение порта прослушивания для удаленного рабочего стола
- Туннелирование соединений удаленного рабочего стола через IPSec или SSH.
- Двухфакторная аутентификация также может быть рассмотрена для особо важных систем.
Если это не требуется, отключите PowerShell / сценарии windows.
Ограничьте возможности (разрешения) пользователей на установку и запуск нежелательных программных приложений.
Включите персональные брандмауэры на рабочих станциях.
Внедрите строгую политику использования внешних устройств (USB-накопителей).
Используйте шифрование данных в состоянии покоя и данных в пути.
Рассмотрите возможность установки Enhanced Mitigation Experience Toolkit или аналогичных средств защиты от эксплойтов на уровне хоста.
Блокируйте вложения файлов типа exe|pif|tmp|url|vb|vbe|scr|reg|cer|pst|cmd|com|bat|dll|dat|hlp|hta|js|wsf.
Провести оценку уязвимостей и тестирование на проникновение (VAPT) и аудит информационной безопасности критически важных сетей/систем, особенно серверов баз данных, у аудиторов, назначенных CERT-IN. Повторяйте аудиты через регулярные промежутки времени.
Частным лицам или организациям не рекомендуется платить выкуп, поскольку это не гарантирует, что файлы будут освобождены.
Сообщайте о подобных случаях в CERT и правоохранительные органы.

Indicators of Compromise

MD5

b5045d802394f4560280a7404af69263
04fb3ae7f05c8bc333125972ba907398
bee9ba70f36ff250b31a6fdf7fa8afeb

SHA256

321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

Other IOCs

*.key.hive
*.key.*
HOW_TO_DECRYPT.txt
hive.bat
shadow.bat
vssadmin.exe delete shadows /all /quiet
wmic.exe SHADOWCOPY /no interactive
wmic.exe shadowcopy delete
wevtutil.exe cl system
wevtutil.exe cl security
wevtutil.exe cl application
bcdedit.exe /set {default} boot status policy ignore all failures
bcdedit.exe /set {default} recovery enabled no