Федералното бюро за разследвания на САЩ публикува техническите подробности и признаците за разпознаване на рансъмуера на хакерската групировка Hive. ФБР даде и линк към сайта, към който изтичат данните, и на който хакерите публикуват информацията, открадната от различните компании.

ФБР съобщи, че операторите от Hive използват разнообразен набор от тактики, техники и процедури, които силно затрудняват защитата на компаниите от нейните атаки. Първоначалният достъп до жертвите се осъществява с помощта на фишингови електронни писма с прикачени вредоносни файлове и със задействане на протокола за отдалечена работа RDP.

Преди да криптира файловете на жертвите рансъмуерът на Hive копира файловете, които хакерите считат за ценни, за да накарат по-късно жертвите да заплатят откупа под заплаха, че тези фирмени данни ще бъдат продадени и накрая публикувани. В самото начало се извършва търсене на работещи процеси за създаване на резервни копия на по-важните файлове и на антивирусни програми, и започват да търсят начини за спиране на тези процеси.

На този етап се стартира скриптът hive.bat, които изчиства системата от тези процеси, като след изтриването на изпълнимия файл Hive, изтрива и себе си. След това се стартира друг скрипт с име shadow.bat, който премахва сенчестите копия на потребителските файлове и след това също се самоизтрива от системата.

При достигането на тази фаза хакерите осъществяват връзка с жертвите и искат плащането на откуп в срок от 2 до 6 дни, като в някои случаи този срок се увеличава.

ФБР допълва, че се използват файловете Winlo.exe, който подменя стандартния архиватор 7zG.exe, както и Winlo_dump_64_SCY.exe за криптиране на информацията и добавяне на разширението .KEY на вече криптираните файлове. Именно по тези файлове може да стане разпознаването на този опасен рансъмуер,

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *