Hive勒索軟體聲稱對印度最大的電力公司Tata Power進行了攻擊,並開始外洩數據

#基礎建設

#TataPower支付系統出現問題

#無法完成支付賬單

10 月 14 日,印度最大的電力公司 Tata Power宣布遭到網路攻擊,Tata Power向印度證交所發出通報並指出,入侵影響了其部分 IT 系統,已採取措施來復原相關系統,10 月 24 日,Hive勒索軟體組織聲稱為這次攻擊負責。

據說該入侵事件發生在 2022 年 10 月 3 日,作為其雙重勒索的一部分,Hive已在10其揭秘網站Hive Leaks上外洩盜來的數據,這包括簽署的客戶合約、協議以及其他敏感資料,例如電子郵件、地址、電話號碼、護照號碼、納稅人數據等。

這家總部位於孟買的公司是印度最大的綜合電力公司,隸屬於塔塔集團(Tata Group),根據安全研究人員 Rakesh Krishnan 分享的進一步細節,外洩包含個人身份資料 (PII),包括 Aadhaar 身份號碼、永久帳號 (PAN)、駕駛執照、工資細節和工程圖紙。

最新發展也表明,塔塔電力可能已拒絕支付贖金,促使Hive勒索軟體組織在其 暗網網站上發布竊取的數據。

直到10月20-22日,仍出現許多 客戶在 Tata Power 官方的Twitter 上報告了無法支付賬單,其中一些人表示他們因無法完成支付,一些人還報告說他們已經付款,但仍然接到電話說他們的賬單還沒有支付。

Hive 勒索軟自 2021年  6 月以來一直處於活躍狀態,提供勒索軟體即服務(Ransomware As a Service),並採用雙重勒索模式威脅受害者在Hive Leaks上發布從受害者那裡竊取的數據。2021 年 8 月,聯邦調查局 (FBI) 發布了 關於 Hive 勒索軟體攻擊的緊急警報,其中包括與Hive活動相關的技術細節和入侵指標。根據區塊鏈分析公司 Chainalysis 發布的一份報告,Hive 勒索軟體是 2021 年收入排名前 10 位的勒索軟體之一。該組織使用了多種攻擊方法,包括惡意垃圾郵件活動、易受攻擊的 RDP 伺服器和外洩的 VPN 憑證。

6 月,微軟威脅情報中心 (MSTIC) 研究人員在分析勒索軟體用於刪除 .key檔案的新技術時發現了Hive的新變種。Hive 勒索軟體的新變種與舊變種之間的主要區別在於使用的程式語言,舊的變體是用 Go 語言編寫的,而新的 Hive 變體是用 Rust 編寫的。

Rust 語言具有以下優點:

*它提供記憶體、數據類型和線程安全性

*對底層資源有深度控制

*具有用戶友好的語法

*它具有多種並行機制,從而實現快速安全的檔案加密

*它有各種各樣的密碼庫

*逆向工程相對更困難

最新的 Hive 變種中最重要的變化是它採用的加密機制。新變種於 2022 年 2 月 21 日首次上傳到 VirusTotal,在幾天後,韓國國民大學的一組研究人員 分享了有關如何解密受 Hive 勒索軟體感染的系統的數據的研究細節。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

又見Hive勒索軟體入侵台灣,某知名鍛造輪圈大廠遭加密,被盜1.5TB數據,Hive稱在受害網路潛伏達21天之久!

竣盟科技在6月30日的觀察,台灣某一家鍛造輪圈大廠,被列入Hive勒索軟體的受害名單,從Hive釋放的資料來看,該公司是在6月21日被加密的,直到 6 月 28 日才被公開在Hive的揭秘網站Hive Leaks上,同時Hive給予受害大廠三天時間與其聯繫。

今天發現在DataBreaches網站,外媒已報導此資安事件,據了解,駭客被輪圈大廠已讀不回,故直接找上外媒公開入侵細節和電郵記錄,相信其目的是要施壓受害者,迫使他們付贖金。根據DataBreaches網站公開了4封電郵的內容,6月21日輪圈大廠被加密當天,駭客告知受害公司,他們已潛伏在受害網路達21天之久,已研究及熟悉受害公司並取得受害檔案及服務的存取權。駭客稱已下載了約1.5 TB的檔案包括合約、NDA、預算案、投資計劃、銀行數據、客戶的開發檔案、協議、設計圖、材料測試和升級檔案等。

由於得不到回覆,Hive在6月23日再發電郵給該公司,警告說如果受害公司沒有在6月27日9點前(受害公司的股東大會時間)向他們聯繫,他們將通知GreTai Securities Market(中華民國證券櫃檯買賣中心) 、 Mega Securities(兆豐證券) 即受害公司的證券agent、受害公司的投資人等,並表達索取贖金的金額會遠低於受害公司的罰款及名譽受損的價值,如下圖所示:

6月24日,Hive 再次發電郵給該輪圈大廠,並列出以下3點:

1.我們將通知您的所有員工和客戶,說明他們的個人數據外洩,

2.由於您尚未正式宣布數據外洩,我們將通知監管機構,您會被相應地罰款。

3.我們將從您的數據庫中收集您所有合作夥伴的電子郵件地址,並通知他們您不知道如何保存機密資料。

最後, 於6 月 28 日Hive在Hive Leaks上列出輪圈大廠是其受害者後,Hive 又向輪圈大廠的五位高層發了一封電郵,表示已經在網站上披露了這起消息並進一步說若在7 月 4 日前與他們達成協議,將不會外洩數據。

DataBreaches曾向該輪圈大廠確認是否發生這事故,但沒有收到任何回覆。此次之前,2021年9月竣盟科技發現Hive的揭秘網站,將某台灣上市鋼鐵公司列入其受害者名單。

有關Hive勒索軟體的”部分”入侵指標(Indicator of Compromise -IOCs):

Domain

hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

SHA256

e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98

SHA1

ecf794599c5a813f31f0468aecd5662c5029b5c4

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

哥斯達黎加社會保障基金被勒索軟體Hive入侵,公共衛生服務遭影響

2022 年 5月31日,哥斯達黎加政府證實其公共衛生服務網路上的所有電腦系統(稱為哥斯達黎加社會保障基金Costa Rican Social Security Fund-CCCS)在周二凌晨遭到Hive勒索軟體攻擊後斷網,正在對該事件進行調查。據稱,社會保障機構的1,500 台伺服器中至少有 30 台遭入侵,但恢復時間的仍然未知。

根據CCSS 負責人Álvaro Ramos向當地媒體發表講話,今天早上政府機構內的許多印表機開始大量印出Hive的勒索信。

Hive的勒索信,以基於ASCII的亂碼印出

CCSS表示正在進行分析以嘗試恢復關鍵服務,但無法確定它們何時投入使用。目前,預防性地關閉了所有系統。這次Hive的入侵事件是繼在4月底Conti 勒索軟體集團的攻擊之後,Conti的攻擊針對了多個哥斯達黎加政府機構,尤其是其財政部,該機構仍未恢復對其部分系統的控制權。Emsisoft勒索軟體分析師 Brett Callow 表示,Conti 和 Hive 是獨立的勒索軟體操作,然而最近一些分析師懷疑他們已經建立了某種合作關係。

一家公共衛生診所外張貼的手寫通知警告說,由於網路攻擊該國的醫療保健系統而導致系統中斷

根據哥斯達黎加網路安全諮詢公司ATTI Cyber​​ 的創始人Esteban Jimenez CCSS 遭受了網路攻擊,破壞了公共藥房的唯一數位醫療檔案(EDUS)和國家處方系統,因此醫療機構已經轉向用紙和筆手動應急,對於依賴公共衛生系統的哥斯達黎加人來說,造成無法在健康中心的藥房配藥,醫療行為被推遲直到系統恢復正常等。

針對拉丁美洲的勒索攻擊有激增的情況,根據Inter-American Development銀行最近的一份報告,許多拉丁美洲國家缺乏應對網路攻擊的威脅,在過去 90 天裡,巴西的 15 個政府、9 個阿根廷、6 個哥倫比亞、4 個厄瓜多爾和3 個智利的機構已被勒索軟體入侵。

有關Hive勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

韓國研究人員解密 Hive 勒索軟體,可恢復高達 98% 被加密的檔案

韓國國民大學(Kookmin University)的一組研究人員在二月中旬發表了一篇學術論文<<A Method for Decrypting Data Infected with Hive Ransomware>>,研究人員表示他們分析了 Hive勒索軟體的加密演算法並發現當中存在一個漏洞,該漏洞允許研究人員在沒有駭客的RSA私密金鑰(Private key)情況下,還原生成檔案加密的主金鑰(Master key),以實現被 Hive 勒索軟體加密的數據的解密。根據國民大學金融資訊安全系的論文,該團隊還原了 95% 的主金鑰,即使在這種不完整的狀態下,金鑰也可用於解密受害者檔案的 82% 到 98% 的被加密的數據,具體取決於原始主金鑰被恢復的狀態,這是第一次有研究人員成功嘗試解密 Hive 勒索軟體。

研究人員發現的加密漏洞涉及生成和存儲主金鑰的機制,勒索軟體僅使用從主金鑰派生的兩個金鑰流加密檔案的選定部分,而不是整個內容。研究人員解釋說,對於每個檔案加密過程,都需要來自主金鑰的兩個金鑰流,通過從主金鑰中選擇兩個隨機偏移量並分別從所選偏移量中提取0x100000 位元組(1MiB) 和0x400 位元組(1KiB) 來建立兩個金鑰流。從兩個金鑰流的XOR 操作,建立的加密金鑰流然後與交替塊中的數據進行XOR 以生成加密檔案。但是這種技術也可以猜測金鑰流並恢復主金鑰,從而可以在沒有攻擊者私鑰的情況下解碼加密檔案。

研究人員進一步表示,恢復92%的主金鑰能成功解密約72%的檔案,恢復96%的金鑰能成功解密約82%的檔案,而恢復98%的主金鑰能成功解密約98%的檔案。”

Hive 勒索軟體於2021 年 6 月首次被觀察到,當時它攻擊了一家名為 Altus Group 的公司。Hive 慣用多種初始攻擊方法,包括易受攻擊的 RDP 伺服器、外洩的 VPN 憑證以及帶有惡意附件的網路釣魚電子郵件等,並實施有利可圖的雙重勒索手法,駭客不僅加密檔案還威脅受害者如不支付贖金,便會通過在其Tor揭秘網站<<HiveLeaks>>上洩露敏感的數據。在 2021 年 8 月和 2022 年 1 月,美國FBI 和西班牙的 INCIBE 機構分別發布了關於Hive勒索軟體的警告

,詳細介紹了 Hive 勒索軟體及其激增的攻擊活動。2021 年 9 月,在HiveLeaks上,也出現台灣上市公司,在這週一(21日),韓國造船廠現代重工集團(HHI)旗下的現代三湖重工(Hyundai Samho Heavy Industries)也被Hive列入其受害者名單。根據维基百科,現代三湖重工是世界上最大的造船商和領先的海上設施製造商之一,每年生產約40艘船,總資產為2000 億韓圓。目前操作Hive的駭客沒有公開勒索贖金額和數據量,根據截圖,Hive早在2 月5日已加密現代三湖重工。

根據區塊鏈分析公司了Chainalysis 的數據,截至 2021 年 10 月 16 日,Hive 勒索軟體已至少加害355 家公司,按收入計算的話,是2021 收入排名第八的勒索軟體。

如果您對完整的論文包括他們的程式碼和方法感興趣,可按此處

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

發現Hive勒索軟體首度入侵台灣,某知名鋼鐵公司遭駭

首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。

一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。

另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

在美國西維吉尼亞州及俄亥俄州的連鎖醫療系統遭到Hive攻擊後,FBI發布了針對 Hive 勒索軟體的警報

自6月末以來,Hive勒索軟體已攻擊至少28個組織(此數字為拒絕支付贖金的受害者),最近被證實,在8月15日遭Hive入侵的美國非營利醫療系統Memorial Health System,為了恢復八百台伺服器、三千多台個人設備並以防200,000名患者的資料外洩,已付Hive贖金以換取解密金鑰

在上週Hive勒索軟體入侵了美國多間醫院使用的Memorial Health System後,美國聯邦調查局(FBI)發布了有關 Hive 勒索軟體的警報,該警報說,Hive於 6 月首次出現,是一支由會員操作(affiliate-operated )的勒索軟體,勒索軟體會員(Ransomware affiliate)是指租用勒索軟體即服務(Ransomware as a Service;RaaS)平台的存取權限、策劃入侵企業網路、使用“租用的勒索軟體”加密檔案,然後成功從勒索賺取佣金的個人或團體。Hive主要利用帶有惡意附檔的釣魚電子郵件以獲取存取權限和遠端桌面連線在企業的網路上橫向移動。在部署加密程式之前,Hive 勒索軟體會竊取他們認為有價值的檔案,以迫使受害者在數據外洩的威脅下支付贖金。FBI示,Hive會調查備份、複製檔案和關閉所有不利它加密的防病毒或安全程式(如Windows Defender),被Hive加密過的檔案通常附有.hive的副檔名。在加密任務執行後,Hive會以一個名hive.bat 的script將自己刪除。

FBI在警報編號為MC-000150-MW的FBI Flash,除了提供入侵指標 (IoC) 外,

FBI也說在 Hive 勒索軟體攻擊中觀察到一些它使用的檔案:

*Winlo.exe – used to drop 7zG.exe, a legitimate version of the 7-Zip file archiver

*7zG.exe – version 19.0.0 of the 7-Zip file archiver

*Winlo_dump_64_SCY.exe – used to encrypt files with the .KEY extension and to drop the ransom note HOW_TO_DECRYPT.txt

Photo Credit: BleepingComputer

到目前為止,Hive至少攻擊了28 個組織,其中包括在 8 月 15 日遭到攻擊Memorial Health System 。這家非營利組織在西維吉尼亞州及俄亥俄州經營多家醫院、診所和醫療保健場所。Hive的攻擊使三家醫院——(Marietta Memorial 醫院, Selby General 醫院和Sistersville General醫院)——的醫護人員被迫使用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構。據了解,在攻擊發生的三天後Memorial Health System總裁 Scott Cantley在一份聲明中說,“我們已經達成了一項協商解決方案,並正在開始盡快、盡可能安全地恢復運營的過程。”他隨後向Marietta times承認,支付了贖金以接收解密金鑰。

美國醫院協會網路安全高級顧問 John Riggi表示,Hive是醫療機構特別關注的勒索軟體。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Hive Tor Domain:

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Winlo.exe

MD5 b5045d802394f4560280a7404af69263

SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c

File Path Observed C:\Windows\SysWOW64\winlo.exe

Description Drops 7zG.exe

7zG.exe

MD5 04FB3AE7F05C8BC333125972BA907398

Description This is a legitimate 7zip, version 19.0.0

Drops Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe

MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB

Description Encrypts files with *.key.* extension

Drops HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Description

Stops and disables Windows Defender

Deletes all Windows Defender definitions

Removes context menu for Windows Defender

Stops the following services and disables them from restart

 LanmanWorkstation

 SamSs

 SDRSVC

 SstpSVc

 UI0Detect

 Vmicvss

 Vmss

 VSS

 Wbengine

 Unistoresvc

Attempts to delete Volume Shadow Copies (vssadmin and wmic)

Deletes Windows Event Logs -> System, Security, Application

and powershell

Uses notepad++ to create key file

Changes bootup to ignore errors and not attempt recovery

Drops PowerShell script

新型勒索軟體Hive作惡,致使美國醫療連鎖機構使用的Memorial Health System的IT系統大當機,病患個資遭外洩。

Key Points:

*Hive的攻擊使美國西維吉尼亞州及俄亥俄州的三家醫院,數十個門診,被迫取消預約的手術,患者被迫轉移至其他醫療機構。

*Hive竊取了Memorial Health System中的數據庫,包含 200,00名患者的資料,例如社會安全號碼、姓名和出生日期等

*醫護人員需用筆和紙工作及記錄,需要放射治療或其他特殊治療的患者被轉移到正常運作的醫療機構

Image

“Memorial Health System”實際上是一個小型系統,是由3家醫院(Marietta Memorial 醫院, Selby General 醫院 and Sistersville General醫院)組成的非營利美國醫療系統,擁有 3,000 多名員工。在8月15日遭Hive勒索軟體攻擊,三家醫院的數十個門診的IT系統癱瘓,導致手術取消、患者轉移,目前其影響仍在持續。

Memorial Health System的聲明中給出了轉移指示,將患者改道到最近正常運作的診所。儘管所有急診科將繼續接收患有心肌問題、中風和嚴重創傷的患者,但放射治療、內部通信、財務運營和一些診斷仍然無法正常工作。目前,受影響的醫護人員將繼續使用筆和紙工作,另外 COVID-19 疫苗接種包括預約和所有預定的第二劑也已取消,直至另行通知。據外媒BleepingComputer報導, 已經看到證據表明攻擊者竊取了數據庫,200,00名患者個資被洩漏。

Hive是一種新型的勒索軟體,於2021年6月浮出水面,儘管活動時間很短,但已經發起多次攻擊,Hive跟其他勒索軟體一樣,在暗網設有揭秘網站,一個名為Hive Leaks的網站,用作公開受害者有關數據和資訊以作威脅與敲詐,勒索軟體攻擊導致醫療系統長時間當機和其他系統的中斷給醫護帶來了嚴峻的挑戰和驚人的影響。2021年 5 月份Scripps Health遭勒索軟體攻擊,長達一個月的網路中斷,醫院公布有14萬餘病人資訊被洩漏,6月份病患提告Scripps Health未能保護其個資,該事件總共造成1.127 億美元的損失。

有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):

Domain: hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion

SHA 1: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

SHA 256: 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618

MD5: c3aceb1e2eb3a6a3ec54e32ee620721e

SHA 256: fdbc66ebe7af710e15946e1541e2e81ddfd62aa3b35339288a9a244fb56a74cf

SHA 256: e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e

SHA 256: c04509c1b80c129a7486119436c9ada5b0505358e97c1508b2cfb5c2a177ed11