L'FBI ha rilasciato un avviso sul ransomware Hive dopo che il gruppo ha abbattuto il Memorial Health System la scorsa settimana.
L'avviso spiega che Hive è un ransomware affiliato visto per la prima volta a giugno che implementa “più meccanismi per compromettere le reti aziendali, tra cui e-mail di phishing con allegati dannosi per ottenere l'accesso e Remote Desktop Protocol per spostarsi lateralmente una volta su la rete.”
“Dopo aver compromesso una rete vittima, gli attori ransomware Hive esfiltrano i dati e crittografano i file sulla rete. Gli attori lasciano una richiesta di riscatto in ogni directory interessata all'interno del sistema della vittima, che fornisce istruzioni su come acquistare il software di decrittazione. Anche la richiesta di riscatto minaccia per far trapelare i dati delle vittime esfiltrati sul sito Tor, 'HiveLeaks'”, ha spiegato l'FBI.
“Il ransomware Hive cerca i processi relativi a backup, antivirus/antispyware e copia di file e li termina per facilitare la crittografia dei file. I file crittografati generalmente terminano con un'estensione .hive.”
L'avviso spiega come il ransomware corrompe i sistemi e i backup prima di indirizzare le vittime a un collegamento al “reparto vendite” del gruppo a cui è possibile accedere tramite un browser TOR. Il collegamento porta le vittime a una chat dal vivo con le persone dietro l'attacco, ma l'FBI ha notato che alcune vittime sono state persino chiamate dagli aggressori chiedendo riscatti.
La maggior parte delle vittime deve affrontare una scadenza di pagamento compresa tra due e sei giorni, ma altre sono state in grado di prorogare le scadenze attraverso la negoziazione.
Il gruppo gestisce un sito di perdite che usano per minacciare le vittime di pagare. L'FBI includeva indicatori di compromissione, un collegamento al sito della fuga di notizie e un campione di una richiesta di riscatto data a una vittima.
John Riggi, consulente senior per la sicurezza informatica dell'American Hospital Association, ha affermato che il nuovo ransomware Hive è particolarmente preoccupante per le organizzazioni sanitarie. Hive ha finora attaccato almeno 28 organizzazioni, tra cui Memorial Health System, che è stato colpito da un attacco ransomware il 15 agosto. L'organizzazione no-profit gestisce numerosi ospedali, cliniche e siti sanitari in Ohio e West Virginia.
Il CEO Scott Cantley ha dichiarato in una dichiarazione che il personale di tre ospedali – Marietta Memorial, Selby e Sistersville General Hospital – è stato costretto a utilizzare grafici cartacei mentre i loro team IT lavoravano per ripristinare i loro sistemi.
Tutti i casi chirurgici urgenti e gli esami radiologici per lunedì 16 agosto sono stati cancellati a causa dell'attacco. I dipartimenti di emergenza del Memorial Health System sono stati costretti a deviare a causa dell'attacco, con il Marietta Memorial Hospital che ha accettato solo di continuare a prendere pazienti affetti da ictus e incidenti traumatici.
Chiunque avesse bisogno di aiuto doveva semplicemente essere trasportato in altri ospedali. Gli esperti dell'FBI, della CISA e della sicurezza informatica hanno aiutato l'ospedale a rispondere all'attacco.
In una dichiarazione tre giorni dopo, Cantley ha affermato che il sistema ospedaliero “ha raggiunto una soluzione negoziata e sta iniziando il processo che ripristinerà le operazioni nel modo più rapido e sicuro possibile”.
In seguito ha ammesso a The Marietta Times che l'ospedale ha pagato un riscatto per ricevere le chiavi di decrittazione.
“Abbiamo concluso un accordo e ricevuto le chiavi per sbloccare i nostri server e iniziare a elaborare il ripristino. L'FBI ha i suoi sospetti su un'entità dell'Europa orientale relativamente nuova e sofisticata”, ha spiegato Cantley.
“È una buona notizia per il nostro personale recuperare i nostri strumenti. Abbiamo 800 server e oltre 3.000 dispositivi personali che i nostri medici utilizzano per servire i pazienti. Manterremo i servizi essenziali e la prossima settimana dovremmo tornare ai servizi tipici. Continuiamo per servire i nostri pazienti con grande cura di fronte alle avversità.”
I sistemi dell'ospedale sono stati ripristinati online entro il fine settimana e Cantley ha affermato che non vi era “indicazione che i dati dei pazienti o dei dipendenti siano stati resi pubblici o divulgato.”
“È un peccato che molte organizzazioni sanitarie stiano affrontando gli impatti di un panorama di minacce informatiche in evoluzione”, ha affermato Cantley.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Center CXO di gestione dei dati TV di sicurezza del governo 