截至目前,Hive勒索软件已经先后攻击了至少28个组织,包括8月15日刚刚遇袭的连锁医疗机构Memorial Health System。
本月中旬,美国连锁医疗机构Memorial Health System遭勒索攻击瘫痪,被迫缴纳赎金。就在今天,FBI发布了针对Hive勒索软件的警报。
Hive采取联合运营模式,今年6月首次出现
警报称,Hive是今年6月首次出现的联合运营形式勒索软件。Hive部署了“多种机制以入侵商业网络,包括使用网络钓鱼邮件中的恶意附件夺取访问权限,并配合远程桌面协议在网络中横向移动”。
FBI解释道,“在成功入侵受害者网络后,Hive勒索软件攻击者会窃取数据并加密网络上的文件。之后,攻击者会在受害者系统中每个受影响的目录内留下一份勒索信息,其中包含如何购买解密软件的说明。这份信息还威胁要在Tor网站「HiveLeaks」上公开受害者的数据。”
“Hive勒索软件会查找与备份、防病毒/反间谍软件及文件复制相关的进程,终止掉这些进程以实现文件加密。该软件加密的文件通常以.hive扩展名结尾。”
警报还解释了勒索软件如何破坏掉目标的系统与备份,再将受害者定向至只能通过Tor浏览器访问的团伙“销售部门”的链接页面。通过留下的链接,受害者可以与攻击团伙成员实时交流。FBI还指出,也有部分受害者接到了来自攻击方的敲诈电话。
大多数受害者只有2到6天的付款期限,但也有部分受害者能够通过谈判延长考虑时间。
该团伙拥有自己的泄密网站,专门用于威胁受害者尽快就范。FBI在警报中也展示了入侵指标、泄密站点链接以及发给受害者的勒索信息样本。
Hive勒索软件重点关注医疗健康领域
美国医院协会网络安全高级顾问John Riggi表示,新兴出现的Hive勒索软件已经得到医疗机构的高度关注。到目前为止,Hive已经攻击了至少28个组织,包括8月15日刚刚遭受袭击的Memorial Health System。这家非营利性组织在俄亥俄州与西弗吉尼亚州经营有多家医院、诊所及医疗保健站点。
Memorial Health System首席执行官Scott Cantley在一份声明中表示,目前玛丽埃塔纪念医院、塞尔比医院和姐妹县总医院这三家医院的员工暂时只能使用纸质材料,IT团队正在努力恢复原有系统。
受攻击事件影响,原定于8月16日星期一的所有紧急手术和放射学检查也都被取消。此外,Memorial Health System急诊部也被迫转移,玛丽埃塔纪念医院暂时只能接收突发中风和创伤的患者。
也就是说,其他病患只能被送往其他医院。美国FBI、CISA(网络安全与基础设施安全局)联合网络安全专家们已经出手,共同帮助院方应对攻击。
在三天后发布的声明中,Cantley表示医院系统“已经通过协商找到解决办法,将尽快、尽可能安全地恢复运营流程。”
他后来还在接受《玛丽埃塔时报》时坦言,医院其实是支付了赎金来换取解密密钥。
Cantley解释道,“我们双方达成一项协议,目前服务器的解密密钥已经收到,恢复工作开始正常处理。FBI怀疑对方可能是一个较新且技术水平很高的东欧黑客团伙。”
“对我们的员工来说,能快速恢复运营流程肯定是个好消息。我们有800台服务器和3000多台个人设备,医生需要依靠这些工具为患者服务。我们目前只能提供基础服务,计划从下周起恢复处理常规服务的能力。虽然困难重重,但我们仍会坚持为患者提供精心照料。”
该医院的系统已经于周末恢复上线,Cantley提到,“没有迹象表明有任何患者或者员工的数据遭到公开发布或披露。”
Cantley最后总结道,“不断变化的网络威胁格局正给医疗保健组织带来严重影响,我们对此感到非常遗憾。”