Hive Ransomware IOCs - Part 5

ransomware IOC

Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Министерство здравоохранения и социальных служб (HHS) выпускают этот совместный CSA, чтобы распространить известные МОК и ТТП Hive, выявленные в ходе расследований ФБР в ноябре 2022 года.

Hive Ransomware

Согласно информации ФБР, по состоянию на ноябрь 2022 года жертвами Hive ransomware стали более 1300 компаний по всему миру, получивших около 100 миллионов долларов США в качестве выкупа. Hive ransomware работает по модели ransomware-as-a-service (RaaS), в которой разработчики создают, поддерживают и обновляют вредоносное ПО, а филиалы проводят атаки с целью выкупа. С июня 2021 года по ноябрь 2022 года угрожающие субъекты использовали Hive ransomware для атак на широкий спектр предприятий и секторов критической инфраструктуры, включая правительственные учреждения, коммуникации, критически важные производства, информационные технологии и особенно здравоохранение и общественное здоровье (HPH).

Метод первоначального проникновения зависит от того, на какой филиал нацелена сеть. Субъекты Hive получили первоначальный доступ к сетям жертв с помощью однофакторного входа через протокол удаленного рабочего стола (RDP), виртуальные частные сети (VPN) и другие протоколы удаленного подключения к сети (T1133). В некоторых случаях участники Hive обходили многофакторную аутентификацию (MFA) и получали доступ к серверам FortiOS, используя общие уязвимости и уязвимости (CVE) CVE-2020-12812. Эта уязвимость позволяет злоумышленнику войти в систему без запроса второго фактора аутентификации пользователя (FortiToken), когда он меняет регистр имени пользователя.

Акторы Hive также получили первоначальный доступ к сетям жертв путем распространения фишинговых писем с вредоносными вложениями (T1566.001) и эксплуатации следующих уязвимостей на серверах Microsoft Exchange (T1190):

  • CVE-2021-31207 - Уязвимость обхода функции безопасности Microsoft Exchange Server
  • CVE-2021-34473 - Уязвимость удаленного выполнения кода на сервере Microsoft Exchange Server
  • CVE-2021-34523 - Уязвимость повышения привилегий Microsoft Exchange Server

Hive Ransomware IOCs

Indicators of Compromise

IPv4

  • 108.62.118.190
  • 158.69.36.149
  • 181.231.81.239
  • 185.247.71.106
  • 185.8.105.103
  • 185.8.105.112
  • 185.8.105.67
  • 186.111.136.37
  • 192.53.123.202
  • 46.166.161.123
  • 46.166.161.93
  • 46.166.162.125
  • 46.166.162.96
  • 46.166.169.34
  • 5.199.162.220
  • 5.199.162.229
  • 5.61.37.207
  • 83.97.20.81
  • 84.32.188.238
  • 84.32.188.57
  • 89.147.109.208
  • 93.115.25.139
  • 93.115.26.251
  • 93.115.27.148

Domains

  • anonfiles.com
  • asd.s7610rir.pw
  • asq.d6shiiwz.pw
  • asq.r77vh0.pw
  • asq.swhw71un.pw
  • privatlab.com
  • privatlab.net
  • send.exploit.in
  • ufile.io

SHA256

  • 047c2d5a6cf769c33e019c0b576aef702cae77f3418f0aeba0706467be5ba681
  • 572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b
  • 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a
  • d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
  • e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98
SEC-1275-1
Добавить комментарий