FBI har släppt en varning om Hive -ransomware efter att gruppen tog ner Memorial Health System förra veckan.
Varningen förklarar att Hive är en affiliate-driven ransomware som först ses i juni som använder “flera mekanismer för att kompromissa med affärsnätverk, inklusive phishing-e-postmeddelanden med skadliga bilagor för att få åtkomst och Remote Desktop Protocol för att flytta i sidled en gång till nätverket. “
“Efter att ha komprometterat ett offernätverk exfiltrerar Hive -ransomware -aktörer data och krypterar filer på nätverket. Skådespelarna lämnar en lösenanteckning i varje berörd katalog i ett offers system, som ger instruktioner om hur man köper dekrypteringsprogrammet. Lösningsanteckningen hotar också för att läcka ut exfiltrerade offerdata på Tor -webbplatsen, “HiveLeaks”, förklarade FBI.
“Hive-ransomware söker efter processer relaterade till säkerhetskopior, antivirus/antispionprogram och filkopiering och avslutar dem för att underlätta filkryptering. De krypterade filerna slutar vanligtvis med ett .hive-tillägg.”
Varningen förklarar hur ransomware korrumperar system och säkerhetskopior innan de leder offer till en länk till gruppens “säljavdelning” som kan nås via en TOR -webbläsare. Länken leder offren till en livechatt med personerna bakom attacken, men FBI noterade att vissa offer till och med har blivit uppringda av angriparna som kräver lösensumma.
De flesta offer står inför en betalningsfrist som sträcker sig mellan två och sex dagar, men andra kunde förlänga sina tidsfrister genom förhandlingar.
Gruppen driver en läcksajt som de använder för att hota offren att betala. FBI inkluderade indikatorer på kompromisser, en länk till läckageplatsen och ett urval av en lösenbrev till ett offer.
John Riggi, senior rådgivare för cybersäkerhet i American Hospital Association, sa att den nya Hive -ransomware är särskilt oroande för vårdorganisationer. Hive har hittills attackerat minst 28 organisationer, inklusive Memorial Health System, som drabbades av en ransomware-attack den 15 augusti. Den ideella organisationen driver ett antal sjukhus, kliniker och vårdplatser i Ohio och West Virginia.
VD Scott Cantley sa i ett uttalande att personal på tre sjukhus – Marietta Memorial, Selby och Sistersville General Hospital – tvingades använda pappersdiagram medan deras IT -team arbetade med att återställa sina system.
Alla akuta kirurgiska fall och radiologiska undersökningar för måndagen den 16 augusti avbröts på grund av attacken. Memorial Health Systems akutmottagningar tvingades fortsätta på grund av attacken, med Marietta Memorial Hospital som bara gick med på att fortsätta ta patienter som drabbades av stroke och traumaincidenter.
Alla andra som behöver hjälp fick helt enkelt transporteras till andra sjukhus. FBI, CISA och cybersäkerhetsexperter hjälpte sjukhuset att reagera på attacken.
I ett uttalande tre dagar senare sa Cantley att sjukhussystemet “nådde en förhandlad lösning och påbörjar processen som kommer att återställa verksamheten så snabbt och så säkert som möjligt.”
Han erkände senare för The Marietta Times att sjukhuset betalade en lösen för att få dekrypteringsnycklarna.
“Vi har slutfört ett avtal och fått nycklarna för att låsa upp våra servrar och börja bearbeta återhämtning. FBI har sina misstankar om en östeuropeisk enhet som är relativt ny och sofistikerad”, förklarade Cantley.
“Det är goda nyheter för vår personal att få tillbaka våra verktyg. Vi har 800 servrar och mer än 3000 personliga enheter som våra läkare använder för att betjäna patienter. Vi kommer att hålla tjänsterna nödvändiga och nästa vecka borde vi vara tillbaka på typiska tjänster. Vi fortsätter att tjäna våra patienter med stor omsorg inför motgångar. “
Sjukhusets system kom tillbaka online i helgen och Cantley sa att det inte fanns någon” indikation på att någon patient- eller medarbetardata har offentliggjorts eller avslöjas. “
“Det är olyckligt att många hälso- och sjukvårdsorganisationer konfronterar effekterna av ett utvecklande cyberhotlandskap”, säger Cantley.
Säkerhet
Kaseya ransomware -attack: Vad du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemmabruk De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Government Security TV Data Management CXO Data Centers 