آلودگی به باج‌افزار Hive را چگونه مدیریت کنیم

باج‌افزار Hive برای به خطر انداختن شبکه‌های تجاری از مکانیسم‌های متعددی ازجمله ایمیل‌های فیشینگ با پیوست‌های مخرب برای دسترسی و Remote Desktop Protocol (RDP) برای حرکت در شبکه استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، باج‌افزار Hive برای نخستین‌بار در ژوئن ۲۰۲۱ مشاهده شد که انواع مختلفی از تاکتیک‌ها، تکنیک‌ها و روش‌ها (TTPs) را به کار می‌گیرد و چالش‌های مهمی را برای دفاع و کاهش ایجاد می‌کند. باج‌افزار Hive از مکانیسم‌های متعددی برای به خطر انداختن شبکه‌های تجاری استفاده می‌کند، ازجمله ایمیل‌های فیشینگ با پیوست‌های مخرب برای دسترسی و Remote Desktop Protocol (RDP) برای حرکت در شبکه.

پس از به خطر انداختن شبکه قربانی، مهاجمان باج‌افزار Hive داده‌ها را استخراج و فایل‌های موجود در شبکه را رمزگذاری می‌کنند. مهاجمان یک یادداشت باج در هر دایرکتوری آسیب‌دیده در سیستم قربانی می‌گذارند که دستورالعمل‌هایی را در مورد نحوه خرید نرم‌افزار رمزگشایی ارائه می‌دهد. یادداشت باج همچنین تهدید می‌کند که داده‌های قربانیان را در سایت تور، HiveLeaks، فاش می‌شود.

باج‌افزار Hive به دنبال فرایندهای مربوط به پشتیبان‌گیری، آنتی‌ویروس یا ضدجاسوس‌افزار و کپی فایل است و آنها را غیرفعال می‌کند تا رمزگذاری فایل آسان شود.

فایل‌های رمزگذاری شده معمولاً با پسوند hive. به پایان می‌رسند. باج‌افزار Hive سپس یک اسکریپت hive.bat را در دایرکتوری قرار می‌دهد که تأخیر زمان اجرا را به مدت یک ثانیه اعمال می‌کند تا پس از اتمام رمزگذاری با حذف فایل اجرایی Hive و اسکریپت hive.bat، پاک‌سازی را انجام دهد؛ فایل دوم، shadow.bat، برای حذف کپی‌های سایه از‌جمله نسخه‌های پشتیبان دیسک یا عکس‌های فوری، بدون اطلاع قربانی در پوشه قرار می‌گیرد و سپس فایل shadow.bat را حذف می‌کند.

در طول فرایند رمزگذاری، نام فایل‌های رمزگذاری شده با پسوند key.hive.* یا *.key. *است. یادداشت باج "HOW_TO_DECRYPT.txt" در هر دایرکتوری آسیب‌دیده ریخته می‌شود و کلید * را نشان می‌دهد. فایل را نمی‌توان تغییر داد، تغییر نام داد یا حذف کرد، در غیر این صورت فایل‌های رمزگذاری شده قابل بازیابی نیستند.

این یادداشت حاوی پیوند "بخش فروش" است که از طریق مرورگر TOR قابل دسترسی است و قربانیان را قادر می‌سازد تا از طریق چت زنده با مهاجمان تماس بگیرند.

برخی از قربانیان گزارش‌هایی دریافت کرده‌اند که از مهاجمان درخواست پرداخت هزینه فایل‌هایشان را می‌دهند. مهلت اولیه پرداخت بین ۲ تا ۶ روز متغیر است، اما مهاجمان در پاسخ به تماس شرکت قربانی مهلت را تمدید کردند. یادداشت باج همچنین به قربانیان اطلاع می‌دهد که یک سایت افشا یا نشت عمومی که در مرورگر TOR قابل دسترسی است، حاوی داده‌هایی است که از شرکت‌های قربانی که درخواست باج نمی‌دهند، ارائه شده است.

نشانه‌های آلودگی (IoC)
نمونه یادداشت باج
شبکه شما نقض شده است و همه داده‌ها رمزگذاری شده‌اند. اطلاعات شخصی، گزارش‌های مالی و اسناد مهم آماده افشا است. برای رمزگشایی همه داده‌ها یا جلوگیری از افشای فایل‌های خارج شده، شما باید نرم‌افزار رمزگشایی ما را در سایت زیر:
http://hiveleakdbtnp۷۶ulyhi۵۲eag۶c۶tyc۳xw۷ez۷iqy۶wc۳۴gd۲nekazyd.onion/
خریداری کنید.
لطفاً با واحد فروش ما تماس بگیرید:
REDACTED
نام کاربری: REDACTED
رمز عبور: REDACTED
برای دسترسی به وب‌سایت های .onion مرورگر Tor را از سایت زیر دانلود و نصب کنید:
https://www.torproject.org (مرورگر Tor به ما مربوط نمی شود)

برای جلوگیری از نشت اطلاعات خود، دستورالعمل‌های زیر را دنبال کنید:
- کامپیوترهای خود را خاموش یا راه‌اندازی مجدد نکنید، ذخیره‌سازهای اکسترنال را جدا نکنید.
- سعی نکنید داده‌ها را با استفاده از نرم‌افزار دیگر رمزگشایی کنید. ممکن است باعث آسیب جبران‌ناپذیر شود.
- خودت را گول نزن. رمزگذاری دارای رمزنگاری کامل است و رمزگشایی بدون دانستن کلید غیرممکن است.
- فایل های key.k۶thw.* را تغییر، تغییر نام یا حذف نکنید. در این صورت داده‌های شما غیر قابل رمزگشایی خواهند بود.
- فایل های رمزگذاری شده را تغییر ندهید و تغییر نام ندهید، آنها را از دست خواهید داد.
- به مقامات گزارش ندهید، در این صورت روند مذاکره خاتمه خواهد یافت و بلافاصله کلید پاک می‌شود.
- خرید را رد نکنید، در غیر این صورت اطلاعات حساس شما به صورت عمومی افشا خواهد شد.

اطلاعات درخواست شده
پرداخت باج به مهاجمان جنایتکار توصیه نمی شود. پرداخت باج ممکن است دشمنان را تشویق کند تا سازمان‌های دیگر را هدف قرار دهند، سایر مهاجمان جنایتکار را ترغیب به توزیع باج‌افزارها و یا تأمین مالی فعالیت‌های غیرقانونی کنند. پرداخت باج همچنین تضمین نمی‌کند که فایل‌های قربانی بازیابی شود.

موارد توصیه شده برای کاهش آسیب‌پذیری:
• پشتیبان گیری از اطلاعات مهم به صورت آفلاین.
• اطمینان حاصل کنید که کپی داده های مهم در کلود یا در یک هارددیسک خارجی یا دستگاه ذخیره سازی است.
• پشتیبان گیری خود را ایمن کنید و اطمینان حاصل کنید که داده ها برای اصلاح یا حذف از سیستم محل نگهداری داده ها در دسترس نیستند.
• از احراز هویت دومرحله ای با گذرواژه های قوی، از جمله برای سرویس های دسترسی از راه دور استفاده کنید.
• گزارش تهدیدات سایبری را در مورد انتشار ورود به سیستم VPN آسیب دیده نظارت کنید.
• اعتبارنامه و در صورت لزوم گذرواژه ها و تنظیمات را تغییر دهید.
• رایانه ها، دستگاه ها و برنامه ها را وصله کرده و به روز نگه دارید.
• به طور مرتب نصب نرم افزار ضدویروس یا ضد بدافزار را روی همه میزبان ها انجام دهید.
• منابع اضافی زیر را مرور کنید.
• مشاوره مشترک استرالیا، کانادا، نیوزلند، انگلستان و ایالات متحده در زمینه رویکردهای فنی برای کشف و رفع فعالیت های مخرب، راهنمایی های بیشتری در هنگام شکار یا تحقیق در مورد شبکه و اشتباهات رایج برای جلوگیری از برخورد با حوادث ارائه می دهد.
• راهنمای باج‌افزار مشترک مرکز تجزیه وتحلیل اطلاعات و امنیت سایبری و امنیت زیرساخت ها، بهترین شیوه ها و راه های دیگر برای جلوگیری، محافظت و پاسخ به حمله باج‌افزار را پوشش می دهد.

اگر سازمان شما تحت تأثیر یک باج‌افزار قرار گرفت، نهادهای امنیتی این اقدامات را توصیه می کنند:
سیستم آلوده را جدا کنید: سیستم آلوده را از همه شبکه ها بردارید و رایانه وایرلس، بلوتوث و سایر قابلیت های شبکه احتمالی دیگر را غیرفعال کنید. اطمینان حاصل کنید که همه درایوهای مشترک و شبکه قطع شده اند، چه سیمی و چه بی سیم.

سایر کامپیوترها و دستگاه ها را خاموش کنید: کامپیوتر(های) آلوده را خاموش و جدا کنید (یعنی از شبکه حذف کنید).
هر رایانه یا دستگاه دیگری را که با رایانه (های) آلوده، شبکه ای مشترک دارند که توسط باج‌افزار رمزگذاری نشده اند، خاموش و جدا کنید؛
در صورت امکان، همه رایانه ها و دستگاه های آلوده و مشکوک را در یک مکان مرکزی جمع آوری و ایمن کنید؛
مطمئن شوید که هر رایانه ای که رمزگذاری شده است را به وضوح برچسب گذاری کرده اید؛
خاموش کردن و تفکیک رایانه ها و رایانه های آلوده که به طور کامل رمزگذاری نشده اند ممکن است بازیابی فایل‌های تا حدی رمزگذاری شده توسط متخصصان را ممکن سازد.

پشتیبان‌گیری خود را ایمن کنید: اطمینان حاصل کنید که داده‌های پشتیبان شما آفلاین و ایمن هستند. در صورت امکان، داده‌های پشتیبان خود را با یک برنامه آنتی‌ویروس اسکن کنید تا مطمئن شوید عاری از بدافزار است.