Biro Investigasi Federal (FBI) telah merilis beberapa detail teknis dan indikator kompromi yang terkait dengan serangan ransomware Hive.
Dalam kejadian yang jarang terjadi, FBI telah menyertakan tautan ke situs kebocoran tempat geng ransomware menerbitkan data yang dicuri dari perusahaan yang tidak membayar.
Hive ransomware bergantung pada beragam taktik, teknik, dan prosedur, yang mempersulit organisasi untuk mempertahankan diri dari serangannya, kata FBI.
Di antara metode yang digunakan geng untuk mendapatkan akses awal dan bergerak secara lateral di jaringan, ada email phishing dengan lampiran berbahaya dan Remote Desktop Protocol (RDP).
Sebelum menerapkan rutinitas enkripsi, ransomware Hive mencuri file yang mereka anggap berharga, untuk menekan korban agar membayar uang tebusan di bawah ancaman kebocoran data.
FBI mengatakan bahwa aktor ancaman mencari proses untuk pencadangan, penyalinan file, dan solusi keamanan (seperti Windows Defender) yang akan menghalangi tugas enkripsi data dan menghentikannya.
Tahap ini diikuti dengan menjatuhkan skrip hive.bat yang melakukan pembersihan rutin dengan menghapus dirinya sendiri setelah menghapus malware Hive yang dapat dieksekusi.
Skrip lain yang disebut shadow.bat bertugas menghapus salinan bayangan, file cadangan, dan snapshot sistem dan kemudian menghapus dirinya sendiri dari host yang disusupi.
FBI mengatakan bahwa beberapa korban ransomware Hive melaporkan telah dihubungi oleh penyerang yang meminta mereka untuk membayar uang tebusan sebagai ganti file yang dicuri.
Selengkapnya: Bleeping Computer
