Hive Ransomware in breve
Hive è un ransomware recente: le sue operazioni sono iniziate a Giugno del 2021. Mira solo aziende ed enti pubblici: il breach iniziale avviene tramite la più classica delle campagne di phishing, con la quale viene distribuito il malware.
Ottenuto l’accesso alla rete, Hive è dotato di strumenti che consenton0 agli attaccanti lo spostamento laterale lungo le reti: i file trovati lungo la strada sono esfiltrati prima della criptazione. Il ransomware viene distribuito nella rete non appena gli attaccanti ottengono l’accesso admin sui Windows domain controller. Hive è specializzato nella cancellazione di qualsiasi backup ed è dotato di molteplici strumenti il cui scopo è quello di impedire il ripristino delle reti.
E’ tra i pochi ransomware a disporre anche di una variante usata per criptare sistemi Linux e server FreeBSD.
Lockbit 2.0 in breve
- è attivo dal Settembre 2019 come Ransomware as a Service (SaaS);
- nel Giugno 2021 i suoi sviluppatori annunciando l’avvento della nuova versione di LockBit, la 2.0, con molte nuove funzionalità;
- viene aggiunta la funzionalità di criptazione automatica dei dispositivi nei domini Windows tramite le policy di gruppo;
- membri del gruppo iniziano a cercare insider per violare le aziende per ottenere accessi alle VN e agli RDP senza bisogno di gruppi intermediari;
- nel Gennaio 2022 viene aggiunto un encryptor per Linux per colpire i server VMware ESXi.
Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali
Per approfondire > Ransomware Lockbit: l’FBI fornisce dettagli tecnici e consigli di difesa grazie alle informazioni inviate dalle aziende colpite