Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Министерство здравоохранения и социальных служб (HHS) выпускают этот совместный CSA, чтобы распространить известные МОК и ТТП Hive, выявленные в ходе расследований ФБР в ноябре 2022 года.
Hive Ransomware
Согласно информации ФБР, по состоянию на ноябрь 2022 года жертвами Hive ransomware стали более 1300 компаний по всему миру, получивших около 100 миллионов долларов США в качестве выкупа. Hive ransomware работает по модели ransomware-as-a-service (RaaS), в которой разработчики создают, поддерживают и обновляют вредоносное ПО, а филиалы проводят атаки с целью выкупа. С июня 2021 года по ноябрь 2022 года угрожающие субъекты использовали Hive ransomware для атак на широкий спектр предприятий и секторов критической инфраструктуры, включая правительственные учреждения, коммуникации, критически важные производства, информационные технологии и особенно здравоохранение и общественное здоровье (HPH).
Метод первоначального проникновения зависит от того, на какой филиал нацелена сеть. Субъекты Hive получили первоначальный доступ к сетям жертв с помощью однофакторного входа через протокол удаленного рабочего стола (RDP), виртуальные частные сети (VPN) и другие протоколы удаленного подключения к сети (T1133). В некоторых случаях участники Hive обходили многофакторную аутентификацию (MFA) и получали доступ к серверам FortiOS, используя общие уязвимости и уязвимости (CVE) CVE-2020-12812. Эта уязвимость позволяет злоумышленнику войти в систему без запроса второго фактора аутентификации пользователя (FortiToken), когда он меняет регистр имени пользователя.
Акторы Hive также получили первоначальный доступ к сетям жертв путем распространения фишинговых писем с вредоносными вложениями (T1566.001) и эксплуатации следующих уязвимостей на серверах Microsoft Exchange (T1190):
- CVE-2021-31207 - Уязвимость обхода функции безопасности Microsoft Exchange Server
- CVE-2021-34473 - Уязвимость удаленного выполнения кода на сервере Microsoft Exchange Server
- CVE-2021-34523 - Уязвимость повышения привилегий Microsoft Exchange Server
Hive Ransomware IOCs
- Hive ransomware IOC
- Hive Ransomware IOCs
- Hive Ransomware IOCs - III
- Hive Ransomware (Rust) IOCs
- Hive Ransomware IOCs - Part 4
Indicators of Compromise
IPv4
- 108.62.118.190
- 158.69.36.149
- 181.231.81.239
- 185.247.71.106
- 185.8.105.103
- 185.8.105.112
- 185.8.105.67
- 186.111.136.37
- 192.53.123.202
- 46.166.161.123
- 46.166.161.93
- 46.166.162.125
- 46.166.162.96
- 46.166.169.34
- 5.199.162.220
- 5.199.162.229
- 5.61.37.207
- 83.97.20.81
- 84.32.188.238
- 84.32.188.57
- 89.147.109.208
- 93.115.25.139
- 93.115.26.251
- 93.115.27.148
Domains
- anonfiles.com
- asd.s7610rir.pw
- asq.d6shiiwz.pw
- asq.r77vh0.pw
- asq.swhw71un.pw
- privatlab.com
- privatlab.net
- send.exploit.in
- ufile.io
SHA256
- 047c2d5a6cf769c33e019c0b576aef702cae77f3418f0aeba0706467be5ba681
- 572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b
- 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a
- d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
- e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98