Hive Ransomware IOCs - III

Сообщается, что Hive ransomware использует широкий спектр тактик, техник и процедур (TTP) для компрометации сетей. Владельцы Hive RaaS создают персонализированные наборы ransomware, адаптированные для различных операционных систем.

Hive Ransomware

• Hive ransomware IOC - I
• Hive Ransomware IOCs - II

Hive прибегают к различным методам начальной компрометации, таким как уязвимые RDP-серверы, скомпрометированные учетные данные VPN, а также фишинговые электронные письма с вредоносными вложениями. В ходе атаки Hive обычно использует такие приложения, как Cobalt Strike, ConnectWise, ADrecon. Hive ransomware пытается сбросить учетные данные, кэшировать открытый текст учетных данных и использовать такие инструменты, как ADrecon, для "отображения, обхода и перечисления" среды Active Directory (AD).

Hive ищет процессы, связанные с резервным копированием, антивирусными/антишпионскими программами и копированием файлов, и завершает их, чтобы облегчить шифрование файлов. Зашифрованные файлы обычно имеют расширение .hive. Затем Hive ransomware подбрасывает в каталог сценарий hive.bat, который устанавливает тайм-аут выполнения на одну секунду, чтобы после завершения шифрования выполнить очистку путем удаления исполняемого файла Hive и сценария hive.bat. Второй файл, shadow.bat, забрасывается в каталог для удаления теневых копий, включая резервные копии диска или моментальные снимки, без уведомления жертвы, а затем удаляет файл shadow.bat. В процессе шифрования зашифрованные файлы переименовываются с двойным конечным расширением *.key.hive или *.key.*.

Записка с требованием выкупа "HOW_TO_DECRYPT.txt" забрасывается в каждый пораженный каталог и утверждает, что файл *key.* нельзя изменять, переименовывать или удалять, иначе зашифрованные файлы не смогут быть восстановлены. В записке содержится ссылка на "отдел продаж", доступная через браузер TOR, позволяющая жертвам связаться с действующими лицами через чат. Записка о выкупе также содержит URL сайта публичного раскрытия / утечки, который доступен через браузер TOR.

Лучшие практики и рекомендации

• Поддерживайте автономное резервное копирование данных и регулярно проводите резервное копирование и восстановление. Такая практика гарантирует, что в организации не будет серьезных перебоев в работе, не будет невозвратных данных.
• Убедитесь, что все данные резервного копирования зашифрованы, неизменяемы (т.е. не могут быть изменены или удалены) и охватывают всю инфраструктуру данных организации.
• Все учетные записи с парольным входом (например, учетные записи служб, администраторов и администраторов домена) должны иметь надежные, уникальные пароли.
• Внедрите многофакторную аутентификацию для всех служб, насколько это возможно, особенно для веб-почты, виртуальных частных сетей и учетных записей, имеющих доступ к критическим системам.
• Удалите ненужный доступ к административным ресурсам
• Используйте брандмауэр на базе хоста, чтобы разрешить подключение к административным ресурсам через блок сообщений сервера (SMB) только ограниченному набору машин администраторов.
• Включите защищенные файлы в операционной системе Windows, чтобы предотвратить несанкционированные изменения критически важных файлов.
• Отключите удаленные подключения к рабочему столу, используйте наименее привилегированные учетные записи. Ограничьте пользователей, которые могут входить в систему с помощью Remote Desktop, установите политику блокировки учетных записей. Обеспечьте надлежащее протоколирование и конфигурацию RDP
• Регулярно проверяйте целостность информации, хранящейся в базах данных
• Обеспечьте целостность кодов / скриптов, используемых в базе данных, аутентификации и чувствительной системе.
• Установите для своего домена системы аутентификации, отчетности и соответствия сообщений на основе домена (DMARC), Domain Keys Identified Mail (DKIM) и Sender Policy Framework (SPF), которые представляют собой систему проверки электронной почты, предназначенную для предотвращения спама путем обнаружения подделки электронной почты, с помощью которой большинство образцов ransomware успешно достигают корпоративных почтовых ящиков.
• Обновляйте приложения сторонних разработчиков операционной системы (MS office, браузеры, браузерные плагины) последними патчами.
• Белый список приложений/строгое внедрение политик ограничения программного обеспечения (SRP) для блокирования двоичных файлов, запускаемых из путей %APPDATA% и %TEMP%. Образцы Ransomware падают и выполняются, как правило, из этих мест.
• Поддерживайте обновленное антивирусное программное обеспечение на всех системах.
• Не открывайте вложения в нежелательных письмах, даже если они приходят от людей из вашего списка контактов, и никогда не нажимайте на URL, содержащийся в нежелательном письме, даже если ссылка кажется доброкачественной. В случае подлинных URL-адресов закройте письмо и перейдите на сайт организации непосредственно через браузер.
• Соблюдайте правила безопасности при просмотре веб-страниц. Убедитесь, что веб-браузеры достаточно защищены с помощью соответствующих средств контроля содержимого.
• Сегментация сети и разделение на зоны безопасности - помогают защитить конфиденциальную информацию и критически важные сервисы. Отделите административную сеть от бизнес-процессов с помощью физических средств контроля и виртуальных локальных сетей.
• Отключите содержимое ActiveX в приложениях Microsoft Office, таких как Word, Excel и т.д.
• Ограничьте доступ с помощью брандмауэров и разрешите доступ только к выбранным удаленным конечным точкам, VPN также может использоваться с выделенным пулом для доступа по RDP.
• Используйте надежный протокол аутентификации, например, аутентификацию на сетевом уровне (NLA) в Windows.
• Дополнительные меры безопасности, которые могут быть рассмотрены:
  • Использование шлюзов RDP для лучшего управления
  • Изменение порта прослушивания для удаленного рабочего стола
  • Туннелирование соединений удаленного рабочего стола через IPSec или SSH.
  • Двухфакторная аутентификация также может быть рассмотрена для особо важных систем.
• Если это не требуется, отключите PowerShell / сценарии windows.
• Ограничьте возможности (разрешения) пользователей на установку и запуск нежелательных программных приложений.
• Включите персональные брандмауэры на рабочих станциях.
• Внедрите строгую политику использования внешних устройств (USB-накопителей).
• Используйте шифрование данных в состоянии покоя и данных в пути.
• Рассмотрите возможность установки Enhanced Mitigation Experience Toolkit или аналогичных средств защиты от эксплойтов на уровне хоста.
• Блокируйте вложения файлов типа exe|pif|tmp|url|vb|vbe|scr|reg|cer|pst|cmd|com|bat|dll|dat|hlp|hta|js|wsf.
• Провести оценку уязвимостей и тестирование на проникновение (VAPT) и аудит информационной безопасности критически важных сетей/систем, особенно серверов баз данных, у аудиторов, назначенных CERT-IN. Повторяйте аудиты через регулярные промежутки времени.
• Частным лицам или организациям не рекомендуется платить выкуп, поскольку это не гарантирует, что файлы будут освобождены.
• Сообщайте о подобных случаях в CERT и правоохранительные органы.

Indicators of Compromise

MD5

• b5045d802394f4560280a7404af69263
• 04fb3ae7f05c8bc333125972ba907398
• bee9ba70f36ff250b31a6fdf7fa8afeb

SHA256

• 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

Other IOCs

• *.key.hive
• *.key.*
• HOW_TO_DECRYPT.txt
• hive.bat
• shadow.bat
• vssadmin.exe delete shadows /all /quiet
• wmic.exe SHADOWCOPY /no interactive
• wmic.exe shadowcopy delete
• wevtutil.exe cl system
• wevtutil.exe cl security
• wevtutil.exe cl application
• bcdedit.exe /set {default} boot status policy ignore all failures
• bcdedit.exe /set {default} recovery enabled no