Hive è un ransomware molto recente (1 anno), che ha colpito vittime di peso in tutto il mondo. Sono però disponibili i decryptor per le 5 versioni del ransomware.

Hive è un ransomware molto recente (1 anno), che ha colpito vittime di peso in tutto il mondo. Sono però disponibili i decryptor per le 5 versioni del ransomware.

Il Ransomware Hive in breve

Hive è una operazione ransomware piuttosto giovane: la prima individuazione risale al Giugno 2021. Ha però fatto registrare una crescita costante, fino a divenire uno dei ransomware più importanti dell’ecosistema dei Ransomare as a Service (RaaS). Ha dato anche prova, nel tempo, di essere tra le famiglie ransomware capaci di evolversi più velocemente. La nuova versione in diffusione ad esempio, porta numerosissime novità e miglioramenti. Ha anche una storia peculiare: inizialmente era scritto in GO, ma il suo autore ha poi deciso di passare a Rust, un linguaggio con una tecnologia di criptazione superiore e più difficile da sottoporre a ingegneria inversa.

In Italia ha già colpito altre volte. Nel Marzo 2022 ha colpito RFI – Rete Ferrovieria Italiana, rivendicata sul site leak del ransomware

L'attacco del ransomware Hive a RFI

La nuova variante di Hive: il report di Microsoft

Hive conta su cinque diverse varianti. Microsoft ha analizzato quella più recente, invididuata questa estate, e ne ha riassunto i risultati in un apposto alert.

Per approfondire > Hive ransomware gets upgrades in Rust

La nuova variante è stata individuata dai Microsoft Threat Intelligence Center nel Luglio 2022 in corso di analisi delle tecniche usate da Hive per la distribuzione dei file .key. La prima grande differenza con le precedenti versioni è il linguaggio di programmazione. L’ultima versione non è scritta in GoLang, ma in Rust. Questa novità ha portato al ransomware grandi vantaggi: 

  • gode di una buona gamma di librerie di criptazione;
  • rende più complessa l’ingegneria inversa;
  • dispone di molteplici meccanismi di concorrenza e parallelismo, consentendo così una criptazione più rapida e sicura;
  • maggior controllo sulle risorse low-level;
  • garantisce la sicurezza della memoria, evitando molteplici bug che invece, in altri linguaggi, sono più diffusi.

 Un’altra particolarità è che le credenziali necessarie per accedere al sito web di pagamento di Hive prima erano integrate nel sample. Nella nuova variante queste credenziali vanno inserite in CMD nel parametro “-u”: è una misura di sicurezza che impedisce ai ricercatori di ottenerle dal sample stesso.

Come molti altri ransomware, ha funzionalità specifiche per arrestare processi e servizi correlati alle soluzioni di sicurezza. Hive infatti prova a impersonificare i token di processi come trustedinstaller.exe e winlogon.exe, riuscendo così a bloccare Microsoft Defender Antivirus (tra gli altri). Qualche esempio di processi interrotti dalla nuova versione di Hive?

windefend, msmpsvc, kavsvc, antivirservice, zhudongfungyu, vmm, vmwp, sql, sap, oracle, mepocs, veeam, backup, vss, msexchange, mysql, sophos, pdfservice, backupexec, gxblr, gxvss, gxclmgrs, gxvcd, gxcimgr, gxmmm, gxvsshwprov, gxfwd, sap, qbcfmonitorservice, qbidpservice, acronisagent, veeam, mvarmor, acrsch2svc

e molti altri…

I decryptor di Hive per le versioni dalla 1 alla 5

Infine ci ha messo lo zampino “reecDeep”, un ricercatore malware che ha sviluppato e pubblicato su GitHub un tool di decriptazione per l’ultima versione del ransomware, la variante 5. Proprio quella scritta in Rust.

In precedenza, invece, un’azienda sucoreana ha reso disponibile uno strumento gratuito per la decriptazione dei file criptati dalle versioni da 1 a 4 di Hive.

Per sapene di più > Rilasciato il decryptor per Hive ransomware (dalla versione 1 alla 4)

Sei stato vittima del ransomware Hive?

I decryptor sopra indicati sono stati testati e risolvono le infezioni, a seconda della versione, nella maggior parte dei casi. Se ti occorre assistenza oppure hai bisogno di una consulenza e soluzioni di sicurezza per non subire nuove infezioni, contattaci all’email [email protected] oppure visita il sito decryptolocker.it

 

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica. 

 

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.

    Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota

  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.

    Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello)
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.

    Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!

  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.