De FBI heeft een waarschuwing vrijgegeven over de Hive-ransomware nadat de groep Memorial Health System vorige week had neergehaald.
De waarschuwing legt uit dat Hive een door een partner beheerde ransomware is die voor het eerst werd gezien in juni en die “meerdere mechanismen gebruikt om bedrijfsnetwerken te compromitteren, waaronder phishing-e-mails met kwaadaardige bijlagen om toegang te krijgen en Remote Desktop Protocol om later lateraal te verplaatsen” het netwerk.”
“Na het compromitteren van een slachtoffernetwerk, exfiltreren Hive ransomware-actoren gegevens en versleutelen bestanden op het netwerk. De acteurs laten een losgeldbrief achter in elke getroffen map binnen het systeem van een slachtoffer, die instructies geeft over hoe de decoderingssoftware te kopen. De losgeldbrief dreigt ook om geëxfiltreerde slachtoffergegevens te lekken op de Tor-site, 'HiveLeaks'”, legde de FBI uit.
“Hive ransomware zoekt naar processen met betrekking tot back-ups, antivirus/anti-spyware en het kopiëren van bestanden en beëindigt deze om bestandsversleuteling te vergemakkelijken. De versleutelde bestanden eindigen gewoonlijk met een .hive-extensie.”
De waarschuwing legt uit hoe de ransomware systemen en back-ups corrumpeert voordat de slachtoffers worden doorverwezen naar een link naar de “verkoopafdeling” van de groep die toegankelijk is via een TOR-browser. De link brengt slachtoffers in een livechat met de mensen achter de aanval, maar de FBI merkte op dat sommige slachtoffers zelfs zijn gebeld door de aanvallers die losgeld eisen.
De meeste slachtoffers hebben te maken met een betalingstermijn van twee tot zes dagen, maar anderen konden hun termijnen verlengen door middel van onderhandelingen.
De groep beheert een lekkende site die ze gebruiken om slachtoffers te dreigen te betalen. De FBI bevatte aanwijzingen voor een compromis, een link naar de leksite en een voorbeeld van een losgeldbriefje dat aan een slachtoffer was gegeven.
John Riggi, senior adviseur van de American Hospital Association voor cyberbeveiliging, zei dat de nieuwe Hive-ransomware een grote zorg is voor zorgorganisaties. Hive heeft tot nu toe minstens 28 organisaties aangevallen, waaronder Memorial Health System, dat op 15 augustus werd getroffen door een ransomware-aanval. De non-profitorganisatie runt een aantal ziekenhuizen, klinieken en zorginstellingen in Ohio en West Virginia.
CEO Scott Cantley zei in een verklaring dat het personeel van drie ziekenhuizen — Marietta Memorial, Selby en Sistersville General Hospital — gedwongen werden papieren kaarten te gebruiken terwijl hun IT-teams werkten om hun systemen te herstellen.
Alle dringende chirurgische gevallen en radiologische onderzoeken voor maandag 16 augustus werden geannuleerd vanwege de aanval. De spoedeisende hulpafdelingen van het Memorial Health System moesten vanwege de aanval een omweg maken, waarbij het Marietta Memorial Hospital er alleen mee instemde om patiënten met beroertes en trauma-incidenten te blijven opnemen.
Iedereen die hulp nodig had, moest gewoon naar andere ziekenhuizen worden vervoerd. De FBI, CISA en cybersecurity-experts hielpen het ziekenhuis te reageren op de aanval.
In een verklaring drie dagen later zei Cantley dat het ziekenhuissysteem “een onderhandelde oplossing heeft bereikt en het proces begint dat de operaties zo snel en zo veilig mogelijk zal herstellen.”
Hij gaf later aan The Marietta Times toe dat het ziekenhuis betaalde losgeld om de decoderingssleutels te ontvangen.
“We hebben een overeenkomst gesloten en hebben de sleutels ontvangen om onze servers te ontgrendelen en het herstel te beginnen. De FBI heeft vermoedens van een Oost-Europese entiteit die relatief nieuw en geavanceerd is”, legt Cantley uit.
“Het is goed nieuws voor ons personeel om onze tools terug te krijgen. We hebben 800 servers en meer dan 3.000 persoonlijke apparaten die onze artsen gebruiken om patiënten te bedienen. We zullen de dienstverlening tot het essentiële houden en volgende week zouden we terug moeten zijn naar de gebruikelijke diensten. We gaan door om onze patiënten met grote zorg van dienst te zijn in geval van tegenspoed.”
De systemen van het ziekenhuis werden tegen het weekend weer online gebracht en Cantley zei dat er geen “aanwijzing was dat gegevens van patiënten of werknemers publiekelijk zijn vrijgegeven of bekendgemaakt.”
“Het is jammer dat veel zorgorganisaties worden geconfronteerd met de gevolgen van een zich ontwikkelend landschap van cyberdreigingen”, zegt Cantley.
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Overheidsbeveiliging TV-gegevensbeheer CXO-datacenters 