FBI ได้เปิดเผยรายงานเกี่ยวกับเทคนิค และ IOC ที่เกี่ยวข้องกับการโจมตีของ Hive Ransomware
Hive Ransomware ได้ใช้วิธี เทคนิค และขั้นตอนที่หลากหลาย ที่ทำให้องค์กรต่าง ๆ ทำการป้องกันได้ยาก โดยวิธีทีใช้เข้าถึงเครือข่ายของเป้าหมาย จะใช้การส่ง Phishing email พร้อมไฟล์แนบที่เป็นอันตราย และโจมตีผ่านช่องทาง Remote Desktop Protocol (RDP) ซึ่งเทคนิคการโจมตีก็จะคล้าย ๆ กับ Ransomware ตัวอื่น ๆ ก็คือจะมีการขโมยข้อมูลที่มีความสำคัญออกไป ก่อนที่จะทำการเข้ารหัสไฟล์ เพื่อใช้กดดันเหยื่อให้จ่ายค่าไถ่ และนอกจากนั้นผู้โจมตียังจะทำการค้นหากระบวนการเกี่ยวกับการสำรองข้อมูล การคัดลอกไฟล์ และการป้องกัน เช่น Windows Defender เพื่อทำการ Terminates กระบวนการเหล่านี้
หลังจากโจมตีสำเร็จ จะมีการทิ้ง hive.bat script ที่จะดำเนินการลบตัวเองทิ้งหลังจากลบตัวติดตั้ง Hive malware ออกไปแล้ว และยังมี Script อื่น เช่น shadow.bat ที่มีหน้าที่ในการลบ shadow copies, backup files และ system snapshots และลบตัวเองออกจากเครื่องที่ทำการโจมตี
นอกจากนี้ FBI ยังพบว่าผู้โจมตีจะใช้บริการแชร์ไฟล์ ที่ส่วนใหญ่จะไม่มีการระบุตัวตน เช่น Anonfiles, MEGA, Send.Exploit, Ufile หรือ SendSpace และแม้ว่าจะพบ Hive Ransomware ครั้งแรกในช่วงปลายเดือนมิถุนายน แต่ก็ได้มีการโจมตีองค์กรไปมากกว่า 30 แห่งแล้ว ซึ่งนับเฉพาะเหยื่อที่ปฏิเสธค่าไถ่ และเหยื่อรายล่าสุด คือ Memorial Health System ที่ถูกผู้โจมตีขโมยฐานข้อมูลที่มีข้อมูลของผู้ป่วยมากกว่า 2 แสนราย ออกไป
FBI ยังได้แนะนำว่าไม่ควรจ่ายเงินให้กับผู้โจมตี เพราะไม่มีอะไรรับประกันได้ว่าหลังจากจ่ายค่าไถ่แล้ว ผู้โจมตีจะทำลายข้อมูลที่ขโมยไปทิ้ง แทนที่จะเอาไปขาย
นอกจากนี้ยังแนะนำให้ทำการเพิ่ม IOC ที่เกี่ยวข้องกับ Hive Ransomware เข้าไปบนอุปกรณ์ความปลอดภัยขององค์กร เพื่อป้องกันการโจมตี ตามรายละเอียดด้านล่างนี้
| Type | Indicators |
|---|---|
| Domain | bigblog[.]at |
| IP | 176[.]123[.]8[.]228 |
| MD5 | b5045d802394f4560280a7404af69263 |
| MD5 | 04FB3AE7F05C8BC333125972BA907398 *(Remark) |
| MD5 | 34c3a4538e89e2bc7cd66b01b6b21ffb |
| MD5 | 504bd1695de326bc533fde29b8a69319 |
| MD5 | 7202c948aa5af1134efdfe978ec6ef60 |
| MD5 | 7a731229659ec9175cfaf1358d0367f2 |
| MD5 | 9e609932c59d043565c5d3e5260f571b |
| MD5 | a0fb6a2a3eacbba40d193690c0486c4e |
| MD5 | df5552357692e0cba5e69f8fbf06abb6 |
| MD5 | eb45ff7ea2ccdcceb2e7e14f9cc01397 |
| MD5 | f49a50f9867fa2be206aef078d2240f3 |
*Remark : MD5 นี้มีผลต่อโปรแกรม 7zip หากลูกค้ามีใช้งานในองค์กร ควรยกเว้นค่าดังกล่าว
ที่มา: BleepingComputer, ic3.gov
You must be logged in to post a comment.