引言
Hive勒索軟體組織於2021年6月首次出現,使用的Hive勒索軟體採用Go語言編寫開發。Hive勒索軟體團伙自6月下旬曝光以來,其附屬公司平均每天攻擊 3 家公司。
簡況
9月7日,一個名為“kkk”的使用者,在私人地下論壇 RAMP上釋出訊息,稱正在尋找已經可以訪問公司網路的合作伙伴。訊息中還提到了有關分配贖金的詳細資訊:80% 用於附屬公司,20% 用於開發商。研究人員表示,這名使用者所提供的技術細節清楚地表明,攻擊者指的是 Hive 勒索軟體。“kkk”使用者釋出的訊息如下:
研究人員獲得了 Hive 管理面板的訪問許可權,Hive在其網站主頁向附屬公司提供了簡要總結和關鍵統計資料,包括支付給附屬公司的贖金比列、未來預期會獲得多少錢、目前為止的收入,以及已付款的公司數量等,如下圖(具體資訊已模糊處理):
在“公司”選項卡下,Hive 的附屬公司可以記錄受害公司的名稱和網站、簡要說明,以及其年收入和員工人數。輸入受害者的詳細資訊後,Hive 附屬機構可以發表評論並更新受害者的詳細資訊。在頁面的右側,附屬公司可以構建 Hive 勒索軟體套件以用於未來的攻擊,並記錄加密公司資料是否成功。建立受害者資料的介面如下:
Hive 勒索軟體依賴於常見的初始妥協方法,包括:
- 易受攻擊的 RDP 伺服器
- 洩露的 VPN 憑據
- 帶有惡意附件的網路釣魚電子郵件
總結
截止10月16日,Hive團伙附屬機構已攻擊了 350 多家組織,其中僅有 55 家公司未支付贖金。保守估計,僅在 10 月到 11 月之間,Hive 勒索軟體團伙的利潤就高達數百萬美元。
關注微信公眾號:安恆威脅情報中心
獲取一手原創安全分析報告