Hive-Ransomware im Rampenlicht

Originalbeitrag von Trend Micro Research

Einige Ransomware-Gruppen, die als Ransomware-as-a-Service (RaaS)-Netzwerke operieren, behaupten, bestimmte Sektoren wie Krankenhäuser oder andere kritische Branchen nicht anzugreifen, um Menschen nicht zu schaden. Das gilt offenbar nicht für Hive. Die Angriffe auf Gesundheitsdienstleister 2021 haben gezeigt, dass die Betreiber keine Rücksicht auf solche humanitären Erwägungen nehmen. Ein Krankenhaus in Missouri wurde von einem Hive-Ransomware-Angriff heimgesucht, drei Wochen nachdem die Gruppe die integrierten Systeme eines Gesundheitsdienstleisters getroffen hatte, wobei drei Krankenhäuser und viele ambulante Kliniken in zwei anderen US-Bundesstaaten betroffen waren. Hive-Ransomware hat sich seit ihrer Entdeckung im Juni 2021 zu einer der aktivsten Familien entwickelt. Um sich gegen diese Bedrohung zu wehren, müssen Unternehmen daher mit den verschiedenen Mechanismen vertraut sein, die die berüchtigte Ransomware-Bande einsetzt.

Der Angriff im August 2021 auf ein gemeinnütziges integriertes Krankenhaussystem führte zu schweren Störungen des medizinischen und finanziellen Betriebs von drei Krankenhäusern in Ohio und West Virginia. Die Notaufnahmen mussten umgeleitet und dringende chirurgische Eingriffe sowie radiologische Untersuchungen abgesagt werden. Durch die Verschlüsselung der Dateien war das Krankenhauspersonal gezwungen, Krankenblätter auf Papier zu verwenden. Neben den drei Krankenhäusern unterhält die betroffene gemeinnützige Organisation auch mehrere ambulante Dienste und Kliniken mit insgesamt 3.000 Mitarbeitern.

Die Hive-Akteure setzten bei diesem Angriff auf eine doppelte Erpressung. Neben der Verschlüsselung von Daten stahlen sie auch Patienteninformationen, die sie auf HiveLeaks, ihrer speziellen Leak-Seite, zu publik zu machen drohten. Außerdem veröffentlicht die Bande auf ihrer Tor-Website die Liste der Opfer, die das Lösegeld nicht gezahlt haben. Der Vorfall veranlasste das FBI, eine Warnung herauszugeben, in der die Indicators of Compromise (IOCs) und die Taktiken, Techniken und Verfahren (TTPs) der Hive-Ransomware ausführlich beschrieben wurden. Laut der Warnung verwenden die Betreiber Phishing-Mails mit bösartigen Anhängen, um sich zunächst Zugang zum System zu verschaffen, und das Remote Desktop Protocol (RDP), um sich nach dem Eindringen in das Netzwerk lateral zu bewegen.

Die Bemühungen der Cyberkriminellen im Untergrund, ihren Einflussbereich zu erweitern, lassen sie unweigerlich neue Wege beschreiten. So fanden Bedrohungsforscher Ende Oktober 2021 bei Hive neue Malware-Tools, die spezifisch der Verschlüsselung von Linux- und FreeBSD-Systemen dienen. Auch andere berüchtigte Ransomware-Gruppen sind für ihre eigenen Linux-Verschlüsselungsprogramme bekannt.

Viele Unternehmen stellen mittlerweile auf virtuelle Maschinen um, um ein besseres Gerätemanagement zu erzielen und die Ressourcennutzung zu optimieren. Virtuelle Maschinen sind auch für RaaS-Betreiber wirtschaftlich sinnvoll, da sie mit nur einem Befehl mehrere Server gleichzeitig verschlüsseln können. Die Forscher wiesen darauf hin, dass das Tool von Hive für Linux noch nicht voll funktionsfähig ist und noch nicht alle Dateien vollständig verschlüsseln kann. Doch ist davon auszugehen, dass Hive seine Linux-Verschlüsselungsprogramme weiter verfeinern wird, um sein Malware-Toolkit zu diversifizieren und zu stärken. Weitere konkrete Ransomware-Angriffsbeispiele beinhaltet der Originalbeitrag.

Die Arbeitsweise der Hive-Gruppe

Die Machenschaften von Hive sind weitaus produktiver, als ihre Leak-Site vermuten lässt, denn die Site veröffentlicht nur die Liste der Opfer, die das Lösegeld nicht gezahlt haben, so dass es schwierig ist festzustellen, welche – und wie viele – Unternehmen sich für die Zahlung des Lösegelds entschieden haben. Einem Bericht zufolge treffen die Angriffsversuche von Hive durchschnittlich drei Unternehmen pro Tag. Auch soll die Zahl der Opferunternehmen von September bis Dezember 2021 355 erreicht haben. Weitere Einzelheiten zu den Partnern und der Effizienz der Aktivitäten finden Interessierte im Originalbeitrag.

Die am meisten betroffen Länder und Branchen

Die Daten aus dem  Trend Micro™ Smart Protection Network™ (SPN) zeigen, dass Hive vor allem Unternehmen in Südamerika, vor allem in Argentinien und Brasilien, sowie in den USA am häufigsten angreift.

Bild 1. Die zehn Länder mit den meisten Angriffsversuchen pro Computer für Hive-Ransomware (1. August 2021 bis 28. Februar 2022) Quelle: Trend Micro Smart Protection Network

Bild 2. Die zehn Branchen mit den meisten Angriffsversuchen pro Computer für Hive-Ransomware (1. August 2021 bis 28. Februar 2022) Quelle: Trend Micro Smart Protection Network

Die meisten Angriffsversuche gab es mit 429 im November 2021. Die Hive-Betreiber waren im vierten Quartal 2021 am aktivsten, denn im Dezember und Oktober wurden die zweit- bzw. dritthöchsten Zahlen an Angriffen entdeckt.

Bild 3. Monatliche Aufschlüsselung der Erkennungen pro Computer für Hive-Ransomware (1. August 2021 bis 28. Februar 2022) Quelle: Trend Micro Smart Protection Network

Betroffene Bereiche laut der Leak Site

Unternehmen mit einem Anteil von fast 40 % scheinen die bevorzugten Ziele von Hive zu sein. Die Opfer stammten aus einer Vielzahl von Branchen, wobei der Technologiesektor mit fünf Opfern an der Spitze der Liste steht. Es folgen das Gesundheitswesen und der Transportsektor mit jeweils vier Opfern. Weitere betroffene Branchen sind das Baugewerbe, die Medien- und Unterhaltungsbranche, professionelle Dienstleistungen, der Einzelhandel, die Werkstoffindustrie, die Automobilindustrie sowie die Bekleidungs- und Modebranche.

Bild 4. Branchenverteilung der Hive-Opfer der Leak Site der Gruppe gemäß (1. Dezember 2021 bis 28. Februar 2022)

Die Daten zeigen auch, dass die meisten Angriffe an Wochentagen stattfanden, und bösartige Aktivitäten an Wochenenden nur 6,5 % ausmachten.

Infektionsablauf und Techniken

Bild 5. Infektionsablauf

Erstzugang: Die Kriminellen dringen über Phishing-Mails mit bösartigen Anhängen in Systeme ein.  Auch Microsoft Exchange ist ein möglicher Einstiegspunkt für Hive-Ransomware, da wir dieselben Skripts zur nachträglichen Ausnutzung fanden, die auch in der Technik zur Ausnutzung von ProxyShell-Schwachstellen verwendet werden. Diese Schwachstellen wurden als CVE-2021-31207, CVE-2021-34473 und CVE-2021-34523 identifiziert.

Ausführung: Die Hive-Akteure versuchen, die Persistenztechnik für einen Cobalt Strike Beacon auszuführen, der als C&C-Methode für laterale Bewegungen verwendet werden kann. Unmittelbar nach dem Einbruchsversuch beginnen die Akteure, Antiviren-Produkte (AV) im System zu deinstallieren, um dann Hacking-Tools wie PCHunter, GMER und TrojanSpy.DATASPY herunterladen und ausführen zu können. Mit diesen Tools führen sie einen Unload anderer AV-Produkte durch, um die Erkennung zu umgehen. Auch fanden wir WMI, das für die Verteilung von Deinstallationsskripten und Ransomware in den Netzwerken verwendet wird und eine laterale Bewegung ermöglicht.

Umgehungstaktiken, Entdeckung und Credential-Zugang: PCHunter und GMER nutzen die Kriminellen, um Services und Prozesse aufzuspüren und zu beenden sowie AV-Software zu deaktivieren. TrojanSpy.DATASPY soll Informationen im System sammeln, so etwa zu Maschinen im Netzwerk der dem Vorhandensein bestimmter AV-Produkte. Bei einem anderen Angriff setzten die Bedrohungsakteure KillAV ein, um mehrere AV-Produkte zu beenden, ebenfalls um eine Entdeckung zu vermeiden.

Laterale Bewegungen, Command-and-Control: Die Hive-Bande nutzt RDP und WMI für laterale Bewegungen im kompromittierten Netzwerk und für das Ablegen der Payload aus der Ferne. Wir fanden auch einen BITSAdmin Befehl für laterale Bewegungen sowie die Nutzung von PsExec.

Exfiltrierung: Hive-Betreiber nutzen das 7-Zip-Tool für die Archivierung gestohlener Daten zum Zweck der Exfiltrierung. Darüber hinaus missbrauchen die Angreifer anonyme File-Sharing-Dienste wie MEGASync, AnonFiles, SendSpace und uFile, um Daten zu exfiltrieren

Auswirkungen: Die Payload der Ransomware fährt bei der Ausführung mit der Verschlüsselungsroutine fort. Sie generiert einen Zufallsschlüssel basierend auf der RTLGenRandom-API, der zunächst in der Memory des Geräts gespeichert wird, um die Verschlüsselung durchzuführen. Der Schlüssel wird dann in einer anscheinend benutzerdefinierten Implementierung des Verschlüsselungsprozesses verwendet.

Weitere Einzelheiten beinhaltet der Originalbeitrag. Ebenfalls dort gibt es Tabelle mit den MITRE Taktiken und Techniken sowie ein Zusammenfassung der genutzten Malware, Tools und Exploits, die Sicherheitsteams als Hinweise auf einen Angriff dienen können.

Empfehlungen

Um Systeme vor ähnlichen Bedrohungen zu schützen, können Unternehmen Sicherheits-Frameworks einrichten, mit denen sie systematisch Ressourcen für eine solide Abwehr von Ransomware bereitstellen können. Im Folgenden finden Sie einige bewährte Verfahren, die in diese Frameworks aufgenommen werden können:

  • Audit und Inventur: Erstellen sie eine Übersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Geräte und Software. Führen Sie einen Audit der Ereignis-Logs durch.
  • Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. Überwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
  • Patchen und Updaten: Führen Sie regelmäßige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
  • Schützen und wiederherstellen: Implementieren Sie Maßnahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
  • Sichern und verteidigen: Implementieren Sie Sandbox-Analyse, um bösartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitslösungen auf allen Ebenen des Systems bereit, einschließlich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verdächtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
  • Schulen und testen

Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.