警惕：Hive勒索病毒再次攻击医疗行业

关键要点

根据最新联合警报，Hive勒索病毒集团已成功实施攻击，目标包括医疗行业在内的1300多家公司，获取约1亿美金的赎金。此团伙特别集中于健康领域，具有极高的攻击性。

详细介绍了Hive勒索病毒集团的网络攻击和数据勒索行为，旨在帮助相关实体识别已知的IOC和攻击方式，尤其是在健康和公共卫生领域的影响。

FBI、网络安全与基础设施安全局（CISA）及卫生与公共服务部（HHS）发出警告，截止本月，Hive行使已成功攻击超过1300家公司，恶意获取约1亿美金的赎金。

仅仅六个月前，HHS就已警告医疗机构Hive在对该行业的攻击方面展示出。该警报是在今年5月针对后发出的。

据HHS早前的警报，Hive遵循许多典型的做法，包括感染途径、赎金信和数据外泄，采用双重勒索策略以及维护一个“羞耻”暗网站。“他们还有一套独特的能力，使他们特别值得关注。”

这个团伙采用的是勒索服务模式（RaaS），开发者为联盟成员创建并更新恶意软件，以便其实施网络攻击。

自2021年6月以来，该模式被用于攻击各行业，包括医疗等关键基础设施组织。其首个医疗受害者是，导致紧急护理转移和停机程序。Hive随后发布了与20万名患者相关的医疗数据，声称在攻击前被盗。

攻击者通过多种方式获取访问权限，包括使用单因素登录Remote DesktopProtocol（RDP）、虚拟专用网络（VPN）及其他远程连接协议。此外，该团伙也以能够绕过FortiOS服务器已知的多因素认证漏洞而闻名。

攻击者常常利用钓鱼邮件和Microsoft ExchangeServer的漏洞进行攻击。Hive之所以如此成功，归结于其在部署勒索病毒有效载荷之前具备逃避检测的能力。

在潜伏期间，该团伙迅速确定备份过程、安全工具和文件，随后终止相关进程以便执行文件加密。攻击者还会在系统注册表中删除病毒定义并禁用防病毒程序，随后进行数据外泄。

此外，解密所需的密钥“仅存在于生成该密钥的机器上，无法再现。”赎金信中包含一个“销售部门”的.onion链接，可以通过TOR浏览器访问，使受害组织能够通过实时聊天窗口与攻击者联系讨论支付事宜。Hive还以电话或电子邮件联系受害者。

更令人担忧的是，这些攻击者常常重新感染已经恢复网络的受害者，尤其是那些“在未支付赎金的情况下恢复网络”的企业。

所有组织，“特别是医疗和公共卫生”机构，都被敦促采取报告中的建议，以降低Hive勒索事件的可能性和影响，并向当地执法办公室报告已知的妥协。该报告包含了对抗Hive攻击者的有效战术建议。

该警报的发布恰逢Lake Charles Memorial HealthSystem的最新Hive数据泄露事件，该事件后由当地媒体及行业报告确认。LCMH在声明中表示，他们“迅速识别并阻止”了网络上的可疑活动，但患者护理和临床操作未受到影响。

尽管报告中提到的潜伏时间较