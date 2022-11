De criminelen achter de Hive-ransomware hebben 100 miljoen dollar losgeld van getroffen organisaties ontvangen, zo stelt de FBI. Volgens de Amerikaanse opsporingsdienst zijn zeker dertienhonderd bedrijven slachtoffer van de ransomware geworden. De FBI heeft in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, en het Amerikaanse ministerie van Volksgezondheid een aparte waarschuwing voor de ransomware afgegeven (pdf).

De Hive-ransomware hanteert een Ransomware-as-a-Service (RaaS)-model. Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de Hive-ransomware worden verschillende methodes gebruikt.

Zo maken de aanvallers gebruik van bekende kwetsbaarheden in Microsoft Exchange Server en Fortinet FortiOS-server waarvoor organisaties beschikbare beveiligingsupdates niet hebben geïnstalleerd. Ook weten de aanvallers via het remote desktop protocol (RDP) en phishingmails binnen te komen. Zodra er toegang is verkregen schakelen de aanvallers beveiligingssoftware en back-upsoftware uit en verwijderen volume shadow copies en Windows event logbestanden.

Hierna wordt de ransomware uitgerold en bestanden versleuteld. De aanvallers laten een losgeldboodschap achter, maar getroffen organisaties ontvingen ook e-mails en werden in enkele gevallen zelfs gebeld om over het losgeld te onderhandelen. Om aanvallen te voorkomen adviseren de Amerikaanse overheidsinstanties het direct installeren van beschikbare beveiligingsupdates, met name voor vpn-servers, remote access software en virtual machine-software. Ook wordt het gebruik van multifactorauthenticatie, beveiligen van RDP en maken van back-ups aangeraden.