首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。
一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15日,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。
另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。
有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):
Hive Tor Domain:
http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion
Winlo.exe
MD5 b5045d802394f4560280a7404af69263
SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c
File Path Observed C:\Windows\SysWOW64\winlo.exe
Description Drops 7zG.exe
7zG.exe
MD5 04FB3AE7F05C8BC333125972BA907398
Description This is a legitimate 7zip, version 19.0.0
Drops Winlo_dump_64_SCY.exe
Winlo_dump_64_SCY.exe
MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB
Description Encrypts files with *.key.* extension
Drops HOW_TO_DECRYPT.txt
HOW_TO_DECRYPT.txt
Description
Stops and disables Windows Defender
Deletes all Windows Defender definitions
Removes context menu for Windows Defender
Stops the following services and disables them from restart
LanmanWorkstation
SamSs
SDRSVC
SstpSVc
UI0Detect
Vmicvss
Vmss
VSS
Wbengine
Unistoresvc
Attempts to delete Volume Shadow Copies (vssadmin and wmic)
Deletes Windows Event Logs -> System, Security, Application
and powershell
Uses notepad++ to create key file
Changes bootup to ignore errors and not attempt recovery
Drops PowerShell script