最近几个月出现了数个新的勒索软件家族,且已经在短短的2至3个月出现数十个受害者。例如,自2021年6月开始运行的勒索软件Hive,锁定医疗看护供应商,以及缺乏应对勒索软件攻击能力的中型组织。安全企业Palo Alto Networks指出,目前黑客宣称他们成功攻击了28个组织,包含1家欧洲的航空公司,以及3家美国组织。他们分别是:硬件零售商、制造企业、法律事务所。黑客将这些受害者公布在名为Hive Leaks的网站上。
究竟这个勒索软件如何入侵受害组织?Palo Alto表示尚不明朗,仅表示背后的黑客组织曾运用多种手法,包含通过买到的帐密访问组织的内部网络、暴力破解,以及钓鱼手法等。
而根据Palo Alto的调查,这个勒索软件的运行方式,与许多勒索软件有些不同。首先,Palo Alto指出,Hive勒索软件执行后,会产生2个脚本hive.bat与shadow.bat,用途分别是删除勒索软件本身,以及清空磁盘区阴影复制(Volume Shadow Copy)服务的备份资料。而在勒索消息(HOW_TO_DECRYPT.txt)的内容中,则是要求受害者通过指定的账号和密码,访问位于洋葱网络(Tor)的线上对话网站。
一旦受害者成功登录网站,就会看到类似即时通信软件的聊天室,让他们与攻击者对话,讨论支付赎金的细节。
Palo Alto发现,这些出现在勒索软件的帐密,似乎是针对特定受害者所提供,为了证实这项推测,他们试图取得更多版本的Hive勒索软件文件,结果发现2个尚未被黑客列在Hive Leaks网站上的受害组织。因此,遭到Hive勒索软件攻击的组织可能有更多。
针对Hive勒索软件的攻击态势,美国联邦调查局(FBI)也在8月25日提出警告,表明位于俄亥俄州的Memorial Healthcare System,于8月中旬遭到此勒索软件的攻击,攻击者通过远程桌面连接(RDP)入侵该医疗单位,FBI认为,Hive此波攻击很可能针对医疗体系而来。此外,FBI也指出,有部分受害者接到勒索电话,要求他们付钱换回文件。