蜂巢勒索软件攻击者从全球1300多家公司勒索1亿美元

Hive勒索软件即服务（RaaS）计划背后的威胁行为者已对全球1300多家公司发起攻击，截至2022年11月，该团伙非法支付了1亿美元。

美国网络安全和情报机构在一份警报中表示：“蜂巢勒索软件瞄准了广泛的企业和关键基础设施部门，包括政府设施、通信、关键制造业、信息技术，以及医疗和公共卫生（HPH）”。

自2021 6月开始，Hive的RaaS操作由创建和管理恶意软件的开发人员和分支机构组成，他们负责通过经常从初始访问代理（IAB）购买初始访问来对目标网络进行攻击。

在大多数情况下，获得立足点需要利用Microsoft Exchange Server中的ProxyShell漏洞，然后采取步骤终止与防病毒引擎和数据备份相关的进程，并删除Windows事件日志。

该威胁行为体最近将其恶意软件升级为Rust，作为一种检测规避措施，还已知在加密之前删除了病毒定义。

美国网络安全与基础设施安全局（CISA）表示：“已知蜂巢行为人会使用蜂巢勒索软件或另一种勒索软件变体重新感染受害者组织的网络，这些组织在未支付赎金的情况下恢复了网络”。

根据网络安全公司Malwarebytes共享的数据，Hive于2022年8月、9月和10月分别对约7名受害者、14名受害者和另外两个实体进行了攻击，这标志着该组织在7月针对26名受害者时的活动有所下降。