哥斯達黎加社會保障基金被勒索軟體Hive入侵,公共衛生服務遭影響

2022 年 5月31日,哥斯達黎加政府證實其公共衛生服務網路上的所有電腦系統(稱為哥斯達黎加社會保障基金Costa Rican Social Security Fund-CCCS)在周二凌晨遭到Hive勒索軟體攻擊後斷網,正在對該事件進行調查。據稱,社會保障機構的1,500 台伺服器中至少有 30 台遭入侵,但恢復時間的仍然未知。

根據CCSS 負責人Álvaro Ramos向當地媒體發表講話,今天早上政府機構內的許多印表機開始大量印出Hive的勒索信。

Hive的勒索信,以基於ASCII的亂碼印出

CCSS表示正在進行分析以嘗試恢復關鍵服務,但無法確定它們何時投入使用。目前,預防性地關閉了所有系統。這次Hive的入侵事件是繼在4月底Conti 勒索軟體集團的攻擊之後,Conti的攻擊針對了多個哥斯達黎加政府機構,尤其是其財政部,該機構仍未恢復對其部分系統的控制權。Emsisoft勒索軟體分析師 Brett Callow 表示,Conti 和 Hive 是獨立的勒索軟體操作,然而最近一些分析師懷疑他們已經建立了某種合作關係。

一家公共衛生診所外張貼的手寫通知警告說,由於網路攻擊該國的醫療保健系統而導致系統中斷

根據哥斯達黎加網路安全諮詢公司ATTI Cyber​​ 的創始人Esteban Jimenez CCSS 遭受了網路攻擊,破壞了公共藥房的唯一數位醫療檔案(EDUS)和國家處方系統,因此醫療機構已經轉向用紙和筆手動應急,對於依賴公共衛生系統的哥斯達黎加人來說,造成無法在健康中心的藥房配藥,醫療行為被推遲直到系統恢復正常等。

針對拉丁美洲的勒索攻擊有激增的情況,根據Inter-American Development銀行最近的一份報告,許多拉丁美洲國家缺乏應對網路攻擊的威脅,在過去 90 天裡,巴西的 15 個政府、9 個阿根廷、6 個哥倫比亞、4 個厄瓜多爾和3 個智利的機構已被勒索軟體入侵。

有關Hive勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

韓國研究人員解密 Hive 勒索軟體,可恢復高達 98% 被加密的檔案

韓國國民大學(Kookmin University)的一組研究人員在二月中旬發表了一篇學術論文<<A Method for Decrypting Data Infected with Hive Ransomware>>,研究人員表示他們分析了 Hive勒索軟體的加密演算法並發現當中存在一個漏洞,該漏洞允許研究人員在沒有駭客的RSA私密金鑰(Private key)情況下,還原生成檔案加密的主金鑰(Master key),以實現被 Hive 勒索軟體加密的數據的解密。根據國民大學金融資訊安全系的論文,該團隊還原了 95% 的主金鑰,即使在這種不完整的狀態下,金鑰也可用於解密受害者檔案的 82% 到 98% 的被加密的數據,具體取決於原始主金鑰被恢復的狀態,這是第一次有研究人員成功嘗試解密 Hive 勒索軟體。

研究人員發現的加密漏洞涉及生成和存儲主金鑰的機制,勒索軟體僅使用從主金鑰派生的兩個金鑰流加密檔案的選定部分,而不是整個內容。研究人員解釋說,對於每個檔案加密過程,都需要來自主金鑰的兩個金鑰流,通過從主金鑰中選擇兩個隨機偏移量並分別從所選偏移量中提取0x100000 位元組(1MiB) 和0x400 位元組(1KiB) 來建立兩個金鑰流。從兩個金鑰流的XOR 操作,建立的加密金鑰流然後與交替塊中的數據進行XOR 以生成加密檔案。但是這種技術也可以猜測金鑰流並恢復主金鑰,從而可以在沒有攻擊者私鑰的情況下解碼加密檔案。

研究人員進一步表示,恢復92%的主金鑰能成功解密約72%的檔案,恢復96%的金鑰能成功解密約82%的檔案,而恢復98%的主金鑰能成功解密約98%的檔案。”

Hive 勒索軟體於2021 年 6 月首次被觀察到,當時它攻擊了一家名為 Altus Group 的公司。Hive 慣用多種初始攻擊方法,包括易受攻擊的 RDP 伺服器、外洩的 VPN 憑證以及帶有惡意附件的網路釣魚電子郵件等,並實施有利可圖的雙重勒索手法,駭客不僅加密檔案還威脅受害者如不支付贖金,便會通過在其Tor揭秘網站<<HiveLeaks>>上洩露敏感的數據。在 2021 年 8 月和 2022 年 1 月,美國FBI 和西班牙的 INCIBE 機構分別發布了關於Hive勒索軟體的警告

,詳細介紹了 Hive 勒索軟體及其激增的攻擊活動。2021 年 9 月,在HiveLeaks上,也出現台灣上市公司,在這週一(21日),韓國造船廠現代重工集團(HHI)旗下的現代三湖重工(Hyundai Samho Heavy Industries)也被Hive列入其受害者名單。根據维基百科,現代三湖重工是世界上最大的造船商和領先的海上設施製造商之一,每年生產約40艘船,總資產為2000 億韓圓。目前操作Hive的駭客沒有公開勒索贖金額和數據量,根據截圖,Hive早在2 月5日已加密現代三湖重工。

根據區塊鏈分析公司了Chainalysis 的數據,截至 2021 年 10 月 16 日,Hive 勒索軟體已至少加害355 家公司,按收入計算的話,是2021 收入排名第八的勒索軟體。

如果您對完整的論文包括他們的程式碼和方法感興趣,可按此處

發現Hive勒索軟體首度入侵台灣,某知名鋼鐵公司遭駭

首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。

一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。

另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11