Blog
/
Eindämmung von Ransomware

Hive-Ransomware: So begrenzen Sie ihren Schaden und schützen Ihr Unternehmen

Raghu Nandakumara
,
Leitender Direktor, Marketing für Branchenlösungen
September 29, 2021
23 min. Lesedauer

Die Hive-Ransomware-Gruppe ist seit Mitte 2021 aktiv und erlangte Bekanntheit durch den Angriff auf die Gesundheitssystem der Gedenkstätte. Bei dem Angriff, dem bisher bekanntesten Vorfall von Hive, wurde die gesamte Online-Plattform von Memorial lahmgelegt, sodass die Organisation gezwungen war, Notfallpatienten in Einrichtungen außerhalb ihres Netzwerks umzuleiten. Allein in diesem Jahr ist es das dritte Ransomware Angriff, der sich direkt auf Zivilisten ausgewirkt hat — im Anschluss an diejenigen am Koloniale Pipeline und JBS Foods.

Was unterscheidet Hive von weniger anspruchsvollen Ransomware Angreifer, die häufig einen „Spray-and-Pray“ -Ansatz verfolgen (d. h. so viele Systeme wie möglich in kürzester Zeit sperren, ohne dass ein Interesse an Datenkompromittierungen besteht)?

Die Hive-Ransomware-Gruppe nutzt ein „doppeltes Erpressungsspiel“, bei dem sie die kritischen Daten eines Ziels exfiltriert, bevor sie sie sperren, und nutzt beide als Hebel, um die Kosten des Lösegelds in die Höhe zu treiben — eine Taktik, die bei den Angreifern immer mehr an Bedeutung gewinnt.

Da sich der Angreifer sowohl auf die Unterbrechung des Betriebs als auch auf den Zugriff auf wertvolle Daten konzentriert, ist ein Maß an Interaktion und Persistenz erforderlich, das über die üblicheren, störungsorientierten Ransomware-Angriffe hinausgeht. Dies ist wahrscheinlich auf den zusätzlichen Zeit- und Arbeitsaufwand zurückzuführen, der erforderlich ist, um herauszufinden, welche Daten wertvoll genug sind, um eine Exfiltration zu rechtfertigen.

So funktioniert Hive Ransomware

Hive verwendet eine Vielzahl von Taktiken und Techniken, um einen Angriff auszuführen:

1. Der Angriff beginnt mit einem Phishing-Angriff gegen Benutzer mit Zugriff auf die Umgebung des Opfers oder durch gezielte E-Mails, die den Benutzer dazu bringen, unwissentlich die bösartige Nutzlast.

2. Bei der Nutzlast handelt es sich häufig um ein Signal aus Cobalt Strike (das interessanterweise als ein Tool begann, das von Pen-Testern zur Simulation von Angriffen verwendet wurde). Diese ermöglichen Persistenz, Rückruf, seitliches Verschieben und die Bereitstellung der sekundären Nutzlast.

3. Was als nächstes folgt, ist Dumping von Anmeldeinformationen auf dem lokalen Host und Zuordnen der Active Directory-Umgebung.

4. Seitliche Bewegung und eine breitere Verbreitung der Malware wird durch die Verwendung des Remote Desktop Protocol (RDP) von Microsoft erleichtert. Es ist jedoch auch bekannt, dass die Hive-Gruppe Sicherheitslücken ausnutzt, um ihren Angriff voranzutreiben. Ein typisches Beispiel ist das Ausnutzen einer Sicherheitslücke im Endpunktmanagement von ConnectWise Automate, falls dieses Tool im Netzwerk des Opfers gefunden wurde — ein weiterer Hinweis auf das Lieferkettenrisiko, das von Softwareanbietern ausgeht.

5. Das Herunterladen der sekundären Nutzdaten wird durch Anweisungen erleichtert, die an das Cobalt Strike-Beacon gesendet werden, nachdem der Kanal für ausgehende Rückrufe eingerichtet wurde. Diese Payload führt die böswilligen Aktionen aus, die letztendlich die Lösegeldforderung ermöglichen.

6. Die Payload führt die folgenden Aktionen aus:

  • Beenden von Diensten, die den Fortschritt behindern oder Warnmeldungen auslösen könnten
  • Aufzählung aller angehängten Speicher für Dateien, die relevant sein könnten
  • Exfiltration bestimmter Dateien
  • Lokale Verschlüsselung derselben Dateien
  • Erstellung einer Lösegeldforderung

Wie Illumio helfen kann

Nach dem ersten Eindringen in das Unternehmen nutzen Malware und Ransomware häufig laterale Bewegungen, um sich innerhalb einer Umgebung zu verbreiten und dabei den Zugriff auf geeignete Benutzerdaten auszunutzen.

Hive nutzt das Remote Desktop Protocol (RDP), um sich lateral zu bewegen. RDP bleibt oft zugänglich, um sowohl den Fernzugriff als auch die Fernverwaltung zu erleichtern — und ist daher ein beliebter erster Ransomware-Angriffsvektor.

Vor diesem Hintergrund gibt es einige Maßnahmen, die Unternehmen ergreifen können, um ihre Abwehr gegen Hive-Ransomware zu verbessern, indem sie Illumio Core:

  • Überwachen: Stellen Sie Illumio-Agenten auf allen Endpunkten bereit und überwachen Sie den Verkehrsfluss. Dies wird Folgendes bieten Einblick in alle Abläufe zu und von Endpunkten und können vom Security Operations Center (SOC) verwendet werden, um RDP-Verbindungen außerhalb normaler Verhaltensmuster und ausgehende Verbindungen zu bekannten schädlichen Akteuren (z. B. der Hive Command & Control-Infrastruktur) zu identifizieren.
  • Begrenzen Sie die Exposition: Je offener der Zugriff zwischen Workloads ist, desto schneller kann sich Ransomware verbreiten. Wenn Sie wissen, dass ein allgegenwärtiges RDP nicht erforderlich ist, nutzen Sie Grenzen der Durchsetzung um RDP standardmäßig zwischen Endpunkten zu blockieren. Es können Ausnahmeregeln geschrieben werden, um sicherzustellen, dass der Zugriff von administrativen Hosts und RAS-Gateways aus weiterhin zulässig ist. Dadurch sollte begrenzt werden, wie schnell sich die Ransomware ausbreiten kann.
  • Unternehmen können diese Kontrolle weiter verbessern, indem sie die von Illumio Core nutzen Adaptive Benutzersegmentierung Funktion, die sicherstellt, dass nur Benutzer, die einer autorisierten Active Directory-Gruppe zugeordnet sind, RDP von den dedizierten Jumphosts aus nutzen können.
  • Um die Effektivität des C2-Rückrufkanals einzuschränken, implementieren Sie ein ähnliches Grenzkonzept, um den Zugriff auf öffentliche IP-Adressen oder FQDNs, die mit Hive verknüpft sind, zu verweigern und diese regelmäßig auf dem neuesten Stand zu halten.
  • Enthalten: Wenn das SOC einen Workload identifiziert, der infiziert sein könnte, könnte ein Response-Playbook ausgeführt werden, um eine Quarantäne-Arbeitslast auf dem Ziel zu implementieren und so sicherzustellen, dass nur autorisierte Ermittlungscomputer und forensische Tools darauf zugreifen.

Ihr Unternehmen vor Ransomware zu schützen ist schwierig. Illumio Core macht es jedoch einfach, Ransomware im Keim zu ersticken, wodurch die Auswirkungen einer Sicherheitsverletzung erheblich gemindert werden.

Um mehr zu erfahren:

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Warum Firewalls nicht ausreichen, um Ransomware zu bekämpfen
Eindämmung von Ransomware

Warum Firewalls nicht ausreichen, um Ransomware zu bekämpfen

Lesen Sie mehr
Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran
Eindämmung von Ransomware

Sicherheit am Himmel: So gehen Fluggesellschaften in turbulenten Zeiten an die Sicherheit heran

Lesen Sie mehr
Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: Ein mehrstufiger Angriff
Eindämmung von Ransomware

Entmystifizierung von Ransomware-Techniken mithilfe von.NET-Assemblys: Ein mehrstufiger Angriff

Learn the fundamentals of a multi-stage payload attack using a set of staged payloads.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr