ФБР публикува някои технически подробности за рансъмуера на Hive

Offnews Последна промяна на 30 август 2021 в 10:55 463 0

11-inch-iPad-Pro-2020-800x520

Федералното бюро за разследвания на САЩ публикува техническите подробности и признаците за разпознаване на рансъмуера на хакерската групировка Hive. ФБР даде и линк към сайта, към който изтичат данните, и на който хакерите публикуват информацията, открадната от различните компании.

ФБР съобщи, че операторите от Hive използват разнообразен набор от тактики, техники и процедури, които силно затрудняват защитата на компаниите от нейните атаки. Първоначалният достъп до жертвите се осъществява с помощта на фишингови електронни писма с прикачени вредоносни файлове и със задействане на протокола за отдалечена работа RDP.

Преди да криптира файловете на жертвите рансъмуерът на Hive копира файловете, които хакерите считат за ценни, за да накарат по-късно жертвите да заплатят откупа под заплаха, че тези фирмени данни ще бъдат продадени и накрая публикувани. В самото начало се извършва търсене на работещи процеси за създаване на резервни копия на по-важните файлове и на антивирусни програми, и започват да търсят начини за спиране на тези процеси.

На този етап се стартира скриптът hive.bat, които изчиства системата от тези процеси, като след изтриването на изпълнимия файл Hive, изтрива и себе си. След това се стартира друг скрипт с име shadow.bat, който премахва сенчестите копия на потребителските файлове и след това също се самоизтрива от системата.

При достигането на тази фаза хакерите осъществяват връзка с жертвите и искат плащането на откуп в срок от 2 до 6 дни, като в някои случаи този срок се увеличава.

ФБР допълва, че се използват файловете Winlo.exe, който подменя стандартния архиватор 7zG.exe, както и Winlo_dump_64_SCY.exe за криптиране на информацията и добавяне на разширението .KEY на вече криптираните файлове. Именно по тези файлове може да стане разпознаването на този опасен рансъмуер,

Виж още за:
Всички новини
Най-четени Най-нови
За писането на коментар е необходима регистрация.
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!

Няма коментари към тази новина !