自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已支付Hive贖金以換取解密金鑰。
在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI表示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。
FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,
FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:
*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver
*7zG.exe – version 19.0.0 of the 7-Zip file archiver
*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt
到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊的Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。
美國聯邦調查局(Federal Bureau of Investigation;FBI) 在8月23日,針對勒索軟體會員的作案手法發布了其首個公開警報(警報編號為CU-000149-MW的FBI Flash )。勒索軟體會員(Ransomware affiliate) 一個相對較新的術語,是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。
*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等
*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構
“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。
Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。
韓國香奈兒在6日發現事件後,立即封鎖了IP和非法存取路徑,修補了用於破壞網路的漏洞,目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局(Korea Internet & Security Agency,KISA) 和個人信息保護委員會 (PIPC) 進行調查,韓國香奈兒也稱,這次駭客入侵攻擊沒有對其他系統造成損害。