Esettanulmányok

Hive – A zsarolóvírus, ami emberéleteket sodort veszélybe

2021.12.22.

Egy észrevétlenül beférkőző zsarolóvírus magánszemélyeknek, cégeknek és intézményeknek egyaránt hatalmas károkat okozhat. Néhány hónappal ezelőtt például a Hive néven elhíresült kiberbűnöző csoport egy egészségügyi szolgáltatót, az amerikai Memorial Health System-et vette célkeresztbe. Akciójuk olyan „sikeres” volt, hogy a rendszert használó intézmények képtelenné váltak a betegek ellátására. Mit tanulhatunk az esetből?

Mielőtt ismertetnénk a Hive csoport legutóbbi tevékenységét, ejtsünk néhány szót általánosságban a zsarolóvírusok működéséről:

Mi történik, ha megfertőződik egy eszköz?

A zsarolóvírusok olyan kártékony szoftverek, melyek a megcélzott eszközön található adatokat „rabul ejtik”, lemezkódolással, képernyőzárolással vagy PIN-lezárással kirekesztik a felhasználót a rendszerből, és csak a meghatározott váltságdíj megfizetése után teszik ismét elérhetővé a tulajdonos számára.

A fertőzöttség egy zsaroló üzenet felbukkanásával válik nyilvánvalóvá, amelyben általában szerepel egy határidő, a váltságdíj összege és a teljesítés feltételeinek további részletei. Ha a megkárosított személy nem tesz eleget a követeléseknek, minden adatot nyilvánosságra hoznak, vagy visszaállíthatatlanul törölnek.

Hive – A zsarolóvírus

Hogyan férkőzik be a zsarolóvírus egy rendszerbe?

1. E-mail üzenetek csatolmányaként.

2. Káros weboldalak felkeresésével.

3. A felhasználók mulasztásának kihasználásával.

Ez a három leggyakrabban használt útvonal, amin keresztül a támadó el tudja juttatni a súlyos károkkal fenyegető szoftvert a kiszemelt eszközre. Elég megnyitni egy üzenet csatolmányát vagy rákattintani egy veszélytelennek tűnő reklámhirdetésre, és a zsarolóvírus máris elkezd munkálkodni a háttérben.

A GDPR irányelvek figyelmen kívül hagyása, a munkavállalók tájékozatlansága, mulasztása vagy nemtörődömsége szintén jelentős fenyegetettségnek tehet ki egy vállalatot (ebben az esetben általában a távoli munkavégzéshez használt, internet felé nyitott „távoli-asztal” hozzáférések gyenge jelszavát feltörve kezdik meg támadásukat a trójai programok).

Hive – A zsarolóvírus

Hive zsarolóvírus – A Memorial Health System-et ért támadás esete

2021. augusztus 15-én az egészségügyre specializálódott Hive nevű kiberbűnözői csoport az amerikai Memorial Health System-et vette célkeresztbe – rendszereket zárt le a felhasználók előtt, ezzel pedig kritikus fájlokat és adatokat tett elérhetetlenné. A támadás következtében műtéteket mondtak le, és betegeket kellett áthelyezni más intézményekbe. Az esetre az FBI (az amerikai Szövetségi Nyomozó Iroda) is felfigyelt. Szeptember elején nyilvános közleményt adtak ki, amelyben a Hive nevű kiberbűnözői csoport tevékenységét és a fertőzöttség jeleit részletezik.

A Hive zsarolóvírusnak azért is érdemes külön figyelmet szentelni, mert vélhetően affiliate-alapú (a Ransomware-as-a-Service modellt alkalmazza), tehát egy kártékony kód segítségével bárki végrehajthat váltságdíjas támadásokat – anélkül, hogy az elkövető tisztában lenne a rendszer működésével.

Egészségügyi intézményt célzó zsarolóvírus támadást korábban már Magyarországon is rögzítettek, a 2020. szeptemberében történt Düsseldorfi Egyetemi Kórházat ért akciónak pedig halálos áldozata is volt (egy sürgősségi ellátásra szoruló beteget az átszállítás miatt nem tudtak időben ellátni).

A Hive zsarolóvírus működése

A vírus egy e-mail üzeneten keresztül, egy ártalmatlannak tűnő fájl megnyitásával jut be a rendszerbe, majd azonnal megkezdi a működését. A Hive ransomware minden biztonsághoz és védelemhez kapcsolódó műveletet ellenőriz, a feltérképezés után megbénítja ezeket a mechanizmusokat, és sebezhetővé teszi a megfertőzött rendszert. Miután ez megtörtént, titkosítja a fájlokat, majd váltságdíjat követel, aminek figyelmen kívül hagyása esetén kiszivárogtatja azokat egy megjelölt portálon.

A teljes folyamat a felhasználó értesítése nélkül zajlik, aki csak akkor fedezheti fel a zsarolóvírus jelenlétét, ha rátalál egy hive kiterjesztésű, titkosított fájlokat tartalmazó könyvtárra, valamint egy szöveges fájlra, ami a visszafejtéssel kapcsolatos információkat tartalmazza. Ezt követően az áldozat egy élő chat formájában veheti fel a kapcsolatot a támadókkal, és 2-től 6 nap áll rendelkezésére a követelések teljesítésére.

Hive – A zsarolóvírus

Az FBI figyelmeztetése

Az FBI közleményében felhívja a figyelmet, hogy senki se kattintson gyanús, ismeretlen feladótól érkező linkekre, és ne töltsön le olyan fájlokat, amelyeknek a forrása – akár csak minimálisan is – megkérdőjelezhető. A váltságdíj megfizetésének elkerülése érdekében azt javasolják, hogy a kritikus adatokat mindenki egy hálózathoz nem csatlakozó tárolómeghajtón vagy felhőben tárolja.

Miben nyújt segítséget az InnoCube?

Tanácsadói tevékenységünk keretében a hatályos és releváns jogszabályi környezet (2013. évi L. tv. - Ibtv., 41/2015. (VII.15.) BM rendelet, GDPR, 2011. évi CXII. tv. - Infotv.), valamint a nemzetközi szabványok (ISO/IEC 27001) előírásait figyelembe véve vizsgáljuk a megfelelősséget, és ajánlásokat, értékeléseket, megoldási lehetőségeket kínálunk.

Védernyő© megoldásunk egy piacon egyedülálló multilayer Cyber Threat Intelligence (CTI) szolgáltatásra épülő incidens feltáró és kockázatelemző támogatói csomag. A hatalmas méretű információhalmazban azokat a potenciális kiberfenyegetéseket azonosítjuk, amelyek veszélyeztethetik az ügyfeleink által kezelt adatok és rendszerek biztonságát.

Biztonságban szeretnéd érezni magad a zsarolóvírusok támadásával szemben? Növelni akarod az üzemmenet biztonságát, az ügyfelek bizalmi szintjét és a cég reputációját? Fordulj hozzánk bizalommal!

TOVÁBB A KAPCSOLATFELVÉTELHEZ!

InnoCube hírlevél

Kerülj képbe a legfrissebb kiberbiztonsági újdonságokkal
és hírekkel kapcsolatban!

"*" a kötelező mezőket jelöli

Név*
Ez a mező az érvényesítéshez van és üresen kell hagyni.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram