Hive Ransomware Has Made $100m to Date
2022/11/18 InfoSecurity — 昨日に FBI/CISA/HHS (Health and Human Services) が発表した共同警告によると、ランサムウェア亜種 Hive は、これまでに 1,300以上のグローバル企業から約 $100 million の利益を得ているという。この推定利益は、2021年6月に Hive が発見されてから、約15カ月の間に発生したものだ。被害組織は、政府/通信/主要な製造業/IT企業 など多岐にわたるが、特に医療機関へ攻撃が集中しているようだ。
これまでにおいて、Microsoft Exchange Server の脆弱性を悪用する Hive のオペレーターが、フィッシング・メールに添付した悪意のファイルを介して、被害者のネットワークへのイニシャル・アクセスを獲得したことがある。
また、リモート・デスクトップ・インフラを標的とした攻撃も行われている。
共同勧告では、「RDP (Remote Desktop Protocol) /VPN (Virtual Private Networks) などのリモート・ネットワーク接続プロトコルにおいて、Hive は1要素ログインを悪用し、被害者のネットワークへのイニシャル・アクセスを獲得している。さらに、CVE-2020-12812 を悪用して MFA (Multifactor Authentication) を回避し、FortiOS サーバにアクセスするケースもある。この脆弱性により、脅威アクターがユーザー名の大文字と小文字を変更すると、ユーザーの2つ目の認証要素 (FortiToken) の入力を促されることなくログインが可能になる」と説明されている。
侵入後のアクティビティとしては、バックアップおよびアンチウイルス (AV) プロセスの終了/シャドー・コピー・サービスの削除に加えて、Windows イベントログである、システム・ログ/セキュリティ・ログ/アプリケーション・ログの削除などが挙げられる。また、データの流出/暗号化に先立ち、システムレジストリで Windows Defender などの AV プログラムを無効化するケースもある。
共同勧告では、Hive に対して身代金を支払わずにバックアップから復元した場合、被害者のネットワークが再感染することも警告している。
Hive のビジネスに関しては、2021年12月に「Hive は1ヶ月で7億円も稼いでいる:メジャー・ランサムウェアの仲間入り?」という記事をポストしていました。そして、今年に入ってからも、順調に売上を伸ばしているのでしょう。なお、文中の FortiOS の脆弱性 CVE-2020-12812 に関しては、 2021年4月に「FBI と CISA が警告する Fortinet FortiOS へのサイバー攻撃とは?」という記事をポストしていました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.