Sürekli değişen siber güvenlik dünyasında, Hive Fidye Yazılımı dünya çapında güvenlik uzmanlarının ve kolluk kuvvetlerinin dikkatini çeken zorlu bir tehdit olarak öne çıkıyor. Ortaya çıkışından bu yana Haziran 2021, Hive sofistike bir şirkete dönüştü Hizmet Olarak Fidye Yazılımı (RaaS) operasyonunda, hem şifre çözme anahtarları hem de çalınan verilerin yayınlanmaması için ödeme talep ederek çifte şantaj yapmıştır.
Bu makale, Hive Fidye Yazılımının inceliklerini, saldırı yöntemlerini, hedef aldığı sektörleri ve etkisini azaltmak ve karşı koymak için yapılan önemli çabaları incelemektedir.
Ortaya Çıkış ve Evrim
Hive Fidye Yazılımı ilk olarak 2021'in ortalarında manşetlere çıktı ve hızla agresif ve hızla yayılan bir kötü amaçlı yazılım olarak kendini kanıtladı. Kullanarak ticari kullanıma hazır (COTS) araçlar ve Arazide Yaşamak İkili Dosyalar ve Komut Dosyaları (LOLBins)Hive, tüm sürücüleri dakikalar içinde şifreleyebilme kapasitesini göstererek kuruluşları yanıt vermeye zorladı.
Tehdit ortamı olumlu yönde değişti Ocak 2023, ne zaman ABD Adalet Bakanlığı kesintiyi duyurdu Hive'ın operasyonlarını durdurdu. Bu zafere rağmen, dirençli siber suç grubu Ekim 2023'te 'Hunters International' olarak yeniden ortaya çıktı ve fidye yazılımı tehditlerinin kalıcı doğasını gözler önüne serdi.
Modus Operandi
Hive'ın çi̇fte gasp tekniği özellikle haincedir. Kurbanlar, şifrelenmiş verilerine yeniden erişim sağlamak ve saldırganların dışarı sızdırdığı hassas bilgilerin yayınlanmasını önlemek için fidye ödemeye zorlanır. Bu iki yönlü yaklaşım, fidye taleplerine uymaları için kurbanlar üzerindeki baskıyı önemli ölçüde artırır.
Hive Fidye Yazılımının Özellikleri
Gizliliğe dayanan bazı benzerlerinin aksine, Hive Ransomware yüklerini gizli olmayan bir şekilde yürütür ve şifreleme işlemi sırasında genellikle görünür komut pencereleri görüntüler. Fidye yazılımının ayırt edici özelliği, hızlı tespit ve müdahale mekanizmalarına duyulan ihtiyacın altını çizen bir başarı olan tam sürücü şifrelemesini gerçekleştirebilme hızıdır.
Birincil Hedefler
Başlangıçta Hive'ın odak noktası sağlık ve eğitim sektörleriBu sektörlerin kritik doğasından ve genellikle daha az sıkı güvenlik önlemlerinden yararlandı. Bununla birlikte, aşağıdakiler de dahil olmak üzere diğer hayati sektörlere de ulaşmıştır finans, perakende, enerji ve imalat. Geniş hedefleme, Hive'ın maksimum hasar vermeyi ve fidye ödeme olasılığını artırmayı amaçlayan fırsatçı yaklaşımını yansıtmaktadır.
Enfeksiyon Vektörleri
Hive'ın dağıtım yöntemleri, aşağıdaki gibi çerçevelerin kullanımına kadar çeşitlilik gösterir Cobalt Strikee-posta kimlik avı kampanyalarına, güvenlik açıklarından yararlanmaya Uzak Masaüstü Protokolü (RDP) ve Sanal Özel Ağ (VPN) hizmetler. Fidye yazılımı ayrıca gelişmiş servisleri atlatma yeteneğini de göstermiştir. Çok Faktörlü Kimlik Doğrulama (MFA) sistemleri ve FortiOS ve Microsoft Exchange de dahil olmak üzere yaygın olarak kullanılan yazılımlardaki kritik güvenlik açıklarından yararlanabilir.
Saldırıların Teknik Detayları
İlk erişimin elde edilmesi genellikle tek faktörlü RDP girişlerinden veya kötü niyetli ekler içeren kimlik avı e-postalarından yararlanmayı içerir. Kovan aktörlerinin MFA'yı atladıkları ve aşağıdaki gibi güvenlik açıklarından yararlandıkları bilinmektedir CVE-2020-12812 FortiOS ve bir dizi Microsoft Exchange güvenlik açığı, CVE-2021-31207, CVE-2021-34473ve CVE-2021-34523.
Hive aktörleri fidye yazılımı yüklerini dağıtmadan önce, özel PowerShell ve BAT komut dosyalarının kullanımı, ADFind, SharpView ve BloodHound gibi araçlarla Active Directory numaralandırma, parola püskürtme ve Kerberos bilet saldırıları dahil olmak üzere bir dizi dağıtım öncesi faaliyette bulunur. Gerçek yük dağıtımı Cobalt Strike ve çeşitli yükleyicilerden, Grup İlkesi Nesnelerinden (GPO'lar) ve Zamanlanmış Görevlerden yararlanır.
Hive'ın saldırısının en yıkıcı yönlerinden biri, sistem kurtarmayı engellemeye yönelik sistematik yaklaşımıdır. Fidye yazılımı, görünür komut pencereleri ve aşırı zaman aşımı çağrıları aracılığıyla gözlemlenebilen BAT dosyalarını kullanarak Birim Gölge Kopyalarını kaldırır ve şifre çözme anahtarları olmadan kurtarmayı neredeyse imkansız hale getirir.
Tespit ve Hafifletme Stratejileri
Tespit için SentinelOne Singularity XDR Platformu Hive ile ilgili kötü niyetli faaliyetlerin belirlenmesi ve önlenmesi için tavsiye edilir. SentinelOne'ın olmadığı durumlarda, kuruluşlar kötü amaçlı yazılımdan koruma araçları kullanmalı, ağ trafiğini olağandışı modellere karşı izlemeli, güvenlik denetimleri yapmalı ve çalışanları siber güvenlikle ilgili en iyi uygulamalar konusunda eğitmelidir.
Hive'ın yarattığı tehdidi azaltmak için kuruluşlar fidye yazılımı riskleri hakkında eğitime ve kimlik avı tehditlerinden kaçınmaya odaklanmalıdır. MFA'nın etkinleştirilmesi gibi güçlü, benzersiz parolaların uygulanması ve düzenli parola değişiklikleri çok önemlidir. Sistemlerin güncel tutulması ve bilinen güvenlik açıklarının giderilmesi için yamalanması, sağlam yedekleme ve felaket kurtarma süreçlerinin uygulanması gibi kritik öneme sahiptir.
Kripto Para ve Fidye Yazılımı
Hive gibi fidye yazılımı operasyonları genellikle kripto para birimleriyle ödeme talep ederek bu işlemleri takip etmenin zorluğundan ve sınır ötesi ödemelerin kolaylığından yararlanır. Kripto para birimleri, siber suçlular için cazip olan bir anonimlik düzeyi sağlayarak fidye ödemelerini almak için tercih edilen bir yöntem haline getirir.
Yüksek Profilli Olaylar ve Kolluk Kuvvetleri Eylemleri
Hive Fidye Yazılımı dünya çapında 1.300'den fazla saldırıdan sorumlu olmuş ve toplamda yaklaşık $100 milyon fidyeye neden olmuştur. Bu Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) kuruluşların Hive saldırılarına karşı savunmalarına yardımcı olmak için tavsiyelerin ve teknik ayrıntıların yayılmasında aktif olarak yer almıştır. Özellikle sağlık sektörü, Hive'ın operasyonlarının kritik tıbbi hizmetlerin kullanılabilirliğini etkilemesi nedeniyle önemli bir hedef olmuştur.
FBI, dönüm noktası niteliğindeki bir operasyonla Temmuz 2022'de Hive'ın ağlarına sızarak şifre çözme anahtarlarını ele geçirdi ve bunları mağdurlara sağlayarak tahmini $130 milyon fidye talebini önledi. Bu operasyon, Alman ve Hollanda kolluk kuvvetleri ile koordineli bir çabayla Hive'ın sunucularının ve web sitelerinin ele geçirilmesiyle sonuçlandı ve siber tehditlere karşı uluslararası işbirliğinin etkinliğini gösterdi.
Hive Fidye Yazılımının Teknik Analizi
tarafından yapılan detaylı bir analiz Varonis Adli Tıp Ekibi Hive'ın saldırılarının çok aşamalı doğasını ortaya çıkardı. İlk erişim genellikle ProxyShell olarak bilinen Microsoft Exchange'deki güvenlik açıklarından yararlanılarak elde edilmiştir. Sonraki aşamalar, yük teslimi için Cobalt Strike, Mimikatz kullanılarak kimlik bilgilerinin çalınması, kapsamlı ağ taraması ve nihayetinde fidye yazılımının dağıtılmasını içeriyordu.
Analiz aynı zamanda Hive'ın saldırılarının hızına da dikkat çekerek, ilk tehlikeden fidye yazılımı dağıtımına kadar tüm sürecin genellikle 72 saatten az sürdüğünü ortaya koydu. Bu durum, önemli hasarları önlemek için hızlı tespit ve müdahale yeteneklerine duyulan ihtiyacın altını çizmektedir.
Uzlaşma Göstergeleri (IOC'ler) Hive saldırılarıyla ilişkili olarak belirli dosya adları, silinmiş olay günlükleri, devre dışı bırakılmış Windows Defender özellikleri ve belirli IP adresleri sayılabilir. Kuruluşların siber güvenlik protokollerinin bir parçası olarak bu IOC'leri izlemeleri teşvik edilmektedir.
Kuruluşlar için Tavsiyeler
Hive Fidye Yazılımı tehdidiyle mücadele etmek için kuruluşlar aşağıdaki en iyi uygulamalara uymalıdır:
- Yama Yönetimi: Bilinen güvenlik açıklarının istismar edilmesini önlemek için tüm sistemlerin, özellikle Exchange sunucularının en son yamalarla güncel olduğundan emin olun.
- Karmaşık Şifreler: Karmaşık parolaların kullanılmasını zorunlu kılın ve aşağıdaki gibi araçları kullanmayı düşünün Microsoft LAPS yerel yönetici parola yönetimi için.
- Ağ Segmentasyonu: Fidye yazılımının yayılmasını sınırlamak için ağları bölümlere ayırın ve yanal harekete işaret edebilecek olağandışı etkinlikleri izleyin.
- Yedekleme ve Kurtarma: Bir saldırı durumunda verilerin geri yüklenebilmesini sağlamak için çevrimdışı, şifreli ve değişmez yedeklemeler yapın.
- Güvenlik Eğitimi: Kimlik avı ve sosyal mühendislik saldırılarının risklerine odaklanarak çalışanlara düzenli güvenlik bilinci eğitimi verin.
- Olay Müdahale Planı: Bir ihlal durumunda hazırlıklı olmak için kapsamlı bir siber olay müdahale planı geliştirin ve test edin.
Sonuç
Hive Fidye Yazılımı'nın ısrarcı doğası ve yakın zamanda 'Hunters International' olarak yeniden ortaya çıkması, tehdit ortamının sürekli olarak geliştiğini keskin bir şekilde hatırlatıyor. Kuruluşlar, fidye yazılımı saldırılarını tespit etmek, azaltmak ve bunlara etkili bir şekilde yanıt vermek için siber güvenlik çabalarında uyanık ve proaktif kalmalıdır.
Kuruluşlar, Hive saldırılarının teknik ayrıntılarını anlayarak, en son IOC'ler hakkında bilgi sahibi olarak ve sağlam siber güvenlik önlemleri uygulayarak, her zaman mevcut olan bu tehdide karşı savunmalarını güçlendirebilirler. Sürekli eğitim, hazırlık ve uluslararası işbirliği sayesinde Hive gibi fidye yazılım gruplarından bir adım önde olmayı umabiliriz.
Hive Fidye Yazılımı ile mücadele yalnızca teknik bir zorluk değil, aynı zamanda siber güvenlik topluluğunun dayanıklılığının ve işbirlikçi ruhunun da bir kanıtıdır. Uyum sağlamaya ve yenilikler yapmaya devam ederken, dijital dünyamızı siber suçluların pençelerinden koruma konusundaki ortak kararlılığımızı da pekiştiriyoruz.
TR 
EN