Hive вошла в десятку лучших мировых банд, занимающихся распространением программ-вымогателей. Hive печально известна своими атаками на медицинские учреждения, но недавно она решила сделать себе еще большее имя, атаковав розничную торговлю и потребовав один из крупнейших выкупов в истории кибербезопасности. Hive используют различные методы и тактики, которые представляют сложность для специалистов по кибербезопасности в плане защиты и смягчения последствий.
На протяжении многих лет аналитики и исследователи замечали, что большинство угроз, связанных с выкупными программами, сосредоточены на одной платформе, например Windows, для проведения своих атак. Hive поступает наоборот и использует несколько платформ - Windows, Linux и гипервизоры EXSi.
В записках Hive о выкупе есть ссылка на "отдел продаж", который позволяет жертвам связаться с ними через чат - почти как служба поддержки клиентов. Hive также использует Golang, современный язык программирования, который в последнее время активно используют угрожающие субъекты. Попав в систему, Hive использует свои инструменты для перемещения по системе и повышения привилегий для кражи и шифрования файлов.
Угроза ориентирована на ускорение платежей, и она достигает этого путем усиления давления на своих жертв, похищая их данные перед их шифрованием. Одним из способов, с помощью которых Hive получает доступ к данным жертвы, является рассылка фишинговых писем с вредоносными вложениями и перехват протокола удаленного рабочего стола (RDP).