Главная страница » IOC
0
3 года
IOC

Hive Ransomware (Rust) IOCs

ransomware

Программа-вымогатель Hive существует всего около года, впервые она была замечена в июне 2021 года, но уже успела стать одной из самых распространенных полезных нагрузок в экосистеме ransomware-as-a-service (RaaS). Последний вариант Hive, содержащий несколько серьезных обновлений, доказывает, что это одно из самых быстро развивающихся семейств ransomware, что является примером постоянно меняющейся экосистемы ransomware.

Описание

Обновления в последнем варианте представляют собой фактически капитальный ремонт: наиболее заметные изменения включают полный перенос кода на другой язык программирования и использование более сложного метода шифрования. Влияние этих обновлений далеко идущее, учитывая, что Hive - это полезная нагрузка RaaS, которую Microsoft наблюдала в атаках на организации в сфере здравоохранения и программного обеспечения, совершаемых крупными аффилированными программами-вымогателями, такими как DEV-0237.

Центр разведки угроз Microsoft (MSTIC) обнаружил новый вариант, анализируя обнаруженные техники Hive ransomware для сброса .key файлов. Известно, что Hive сбрасывает свой файл ключей шифрования, который содержит зашифрованные ключи, используемые для расшифровки зашифрованных файлов, и использует последовательный шаблон именования:

В указанных .key файлах отсутствовала часть [VICTIM_IDENTIFIER] в имени файла, что побудило провести более глубокий анализ вымогательского ПО Hive, которое их распространило. Этот анализ привел к обнаружению нового варианта Hive и его многочисленных версий, которые демонстрируют несколько иные доступные параметры в командной строке и выполняемых процессах.

Анализируя эти шаблоны в образцах новых вариантов, Microsoft Threat Intelligence обнаружили еще больше образцов, все с низким уровнем обнаружения и ни один из них не был правильно идентифицирован как Hive.

Hive Ransomware IOCs

Indicators of Compromise

SHA256

  • f4a39820dbff47fa1b68f83f575bc98ed33858b02341c5c0464a49be4e6c76d3
  • 88b1d8a85bf9101bc336b01b9af4345ed91d3ec761554d167fe59f73af73f037
  • 065208b037a2691eb75a14f97bdbd9914122655d42f6249d2cca419a1e4ba6f1
  • 33744c420884adf582c46a4b74cbd9c145f2e15a036bb1e557e89d6fd428e724
  • afab34235b7f170150f180c7afb9e3b4e504a84559bbd03ab71e64e3b6541149
  • 36759cab7043cd7561ac6c3968832b30c9a442eff4d536e901d4ff70aef4d32d
  • 481dc99903aa270d286f559b17194b1a25deca8a64a5ec4f13a066637900221e
  • 6e5d49f604730ef4c05cfe3f64a7790242e71b4ecf1dc5109d32e811acf0b053
  • 32ff0e5d87ec16544b6ff936d6fd58023925c3bdabaf962c492f6b078cb01914
Комментарии: 0
Похожие записи
0
13 часов
IOC

Злоумышленники используют налоговый сезон для развертывания фишинговых кампаний на налоговую тематику

phishing
В преддверии Дня налогов в США 15 апреля компания Microsoft обнаружила несколько фишинговых кампаний, которые используют налоговую тематику для социальной инженерии с целью кражи учетных данных и внедрения вредоносного ПО.
0
3 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
4 дня
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.