MediaMarkt: 240 millió dollár váltságdíj
Hive ransomware támadás érte a Media Markt céget, Európa legnagyobb szórakoztatóelektronikai kiskereskedőjét. A vasárnap késő estétől hétfő reggelig lezajlott zsarolóvírus-támadás titkosította a szervereket és a munkaállomásokat. A 13 országban több mint 1000 üzlettel, körülbelül 53 000 alkalmazottal rendelkező cég életében nagy fennakadást okozott a támadás, amely kedden közleményt adott ki, hogy rendszerei leálltak, fennakadások vannak a kiszolgálásban.
A Hive ransomware viszonylag új zsaolóvírus, 2021 júniusában került reflektorfénybe és RaaS (Ransomware-as-a-Service) azaz bérelhető megoldásként használható.Ez azt jelenti, hogy a szolgáltatásként igénybe vett kártékony kóddal bármelyik bűnöző végrehajthat váltságdíjas támadásokat és profitálhat belőlük ennek az alvilági üzleti modellnek a segítségével anélkül, hogy tudná, hogyan működik az egész. Sajnálatosan egy támadó egyetlen sor kód ismerete nélkül is elkezdhet zsarolóvírus-támadásokat végrehajtani.
A Hive zsarolóvírus a taktikák, technikák és eljárások (TTP-k) széles skáláját alkalmazza a támadás hatékonyságának megalapozása érdekében. A rendszer megfertőzéséhez az adathalászat hagyományos megközelítését alkalmazzák, ahol egy e-mailben csatolt rosszindulatú fájlra lehet számítani. A fájl ártalmatlannak tűnhet, de ha rajta keresztül a zsarolóprogram bejut a megtámadott szervezet rendszerébe, a hozzáférés után azonnal működni kezd.
A Hive ransomware a rendszert a biztonsági mentésekhez, antivírus védelemhez, bármilyen más biztonsághoz és védelemhez kapcsolódó műveleteket szkenneli és a fájlok másolásával kapcsolatos folyamatokat is ellenőrzi. És ha ezel megvan, akkor megszünteti az összes ilyen folyamatot, hogy megbénítsa a védelmi mechanizmusokat.
Miután megfertőzte a rendszert, titkosítja a benne lévő fájlokat, és váltságdíjat követel egy figyelmeztetéssel együtt, hogy kiszivárogtatja a fájlokat a “HiveLeaks” portáljára, amely csak a Tor böngészőn keresztül érhető el, ezért lekövethetetlen a folyamat.
Az érintett fájlokat .hive kiterjesztéssel lehet felfedezni. A Hive zsarolóprogram egy .bat szkriptet is becsúsztat az érintett könyvtárba, hogy a titkosítás befejezése után megtisztítsa a fájlokat. Az eredeti fájlok megtisztítása után egy második shadow.bat szkriptet is elejt a zsarolóprogram, hogy megtisztítsa a megtalált adatok árnyék- vagy biztonsági másolatait.