Os criminosos por trás do ransomware Hive já receberam mais de US$ 100 milhões em resgates pagos pelas organizações que atacaram, segundo relatório do FBI. De acordo com o órgão, pelo menos 1.300 empresas foram vítimas desse grupo de ransomware. O FBI, em conjunto com a Agência de Segurança Cibernética e Infraestrutura (CISA), parte do Departamento de Segurança Interna dos EUA (DHS) e o Departamento de Saúde dos EUA, publicaram ontem um alerta específico sobre esse ransomware.
Veja isso
Grupo hacker Hive assume ataque e vaza dados da Tata Power
Medibank confirma vazamento de dados de todos os clientes
O ransomware Hive usa um modelo Ransomware-as-a-Service (RaaS). O RaaS torna mais fácil para os criminosos obter ransomware, com parte da receita indo para o desenvolvedor da plataforma. Nesse caso, os criminosos ainda precisam espalhar o ransomware por conta própria. Vários métodos são usados para a distribuição do ransomware Hive.
Por exemplo, os invasores exploram vulnerabilidades conhecidas no Microsoft Exchange Server e no servidor Fortinet FortiOS para os quais as organizações não instalaram atualizações de segurança disponíveis. Os invasores também sabem como entrar por meio do protocolo de área de trabalho remota (RDP) e e-mails de phishing. Uma vez acessados, os invasores desativam o software de segurança e backup e excluem as cópias de sombra de volume e os arquivos de log de eventos do Windows.
Depois disso, o ransomware é lançado e os arquivos são criptografados. Os invasores deixam uma mensagem de resgate, mas as organizações afetadas também receberam e-mails e, em alguns casos, até foram chamadas para negociar o resgate. Para evitar ataques, as agências governamentais dos EUA recomendam a instalação imediata das atualizações de segurança disponíveis, especialmente para servidores VPN, software de acesso remoto e software de máquina virtual. O uso de autenticação multifator, protegendo o RDP e fazendo backups também é recomendado.