به گزارش کارگروه امنیت سایبربان؛ سازمان افبیآی (FBI) جزئیات فنی و برخی از خصوصیات مربوط به حملات گروه باج افزاری هایو (Hive) را افشا کرد. افبیآی لینک سایت نشت داده را که در آن هایو دادههای مسروقه شرکتها را منتشر میکند، فاش کرده است.
این سازمان اعلام کرد باج افزار قبل از آغاز رمزگذاری، فایلهای با ارزش را سرقت میکند تا متعاقباً قربانی را با تهدید به انتشار آنها وادار به پرداخت باج نماید. اپراتورهای هایو در دستگاههای هدف فرایندهای پشتیبان گیری، کپی فایل و راهحلهای امنیتی همچون ویندوز دیفندر را که میتوانند مانع رمزگذاری دادهها شوند، جستجو میکنند.
سپس اسکریپت hive.bat راهاندازی میکنند که فرایند پاکسازی انجام داده و پس از حذف فایل اجرایی برنامه مخرب هایو، خود را حذف میکند.
اسکریپت دیگری به نام shadow.bat اقدام به حذف کپیهای سایه، فایلهای پشتیبان و اسنپ شاتها کرده و خود را از دستگاه هک شده حذف میکند.
برخی از قربانیان حملات باج افزاری هایو گزارش دادهاند مهاجمان با آنها تماس گرفته و بابت فایلهای مسروقه باج طلب کردهاند. مدت زمان اولیه پرداخت باج 2 تا 6 روز بوده و در برخی موارد نیز تمدید شده است.
برخی از فایلهایی که در حملات باج افزاری هایو مشاهدهشدهاند، Winlo.exe ،7zG.exe ،Winlo_dump_64_SCY.exe نام داشتهاند. مهاجمان از سرویسهای تبادل فایل Anonfiles ،MEGA، Send.Exploit ،Ufile یا SendSpace نیز استفاده کردهاند.
گروه هایو به چندین ارائهدهنده خدمات پزشکی و سازمان ازجمله یک شرکت هواپیمایی اروپایی و سه شرکت در ایالاتمتحده حمله کرده است. قربانیان دیگر این گروه باج افزاری در استرالیا، چین، هند، هلند، نروژ، پرو، پرتغال، سوئیس، تایلند و انگلستان واقعشدهاند.
