發現Hive勒索軟體首度入侵台灣,某知名鋼鐵公司遭駭

首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。

一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。

另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

根據FBI警報,

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11