勒索软件Hive锁定医疗机构、缺乏相关因应措施的企业而来

最近几个月出现了数个新的勒索软件家族，且已经在短短的2至3个月出现数十个受害者。例如，自2021年6月开始运作的勒索软件Hive，锁定医疗照护供应商，以及缺乏因应勒索软件攻击能力的中型组织。资安业者Palo Alto Networks指出，目前骇客宣称他们成功攻击了28个组织，包含1家欧洲的航空公司，以及3家美国组织。他们分别是：硬件零售商、制造业者、法律事务所。骇客将这些受害者公布在名为Hive Leaks的网站上。

究竟这个勒索软件如何入侵受害组织？Palo Alto表示尚不明朗，仅表示背后的骇客组织曾运用多种手法，包含透过买到的帐密存取组织的内部网络、暴力破解，以及钓鱼手法等。

而根据Palo Alto的调查，这个勒索软件的运作方式，与许多勒索软件有些不同。首先，Palo Alto指出，Hive勒索软件执行后，会产生2个指令码hive.bat与shadow.bat，用途分别是删除勒索软件本身，以及清空磁盘区阴影复制（Volume Shadow Copy）服务的备份资料。而在勒索讯息（HOW_TO_DECRYPT.txt）的内容中，则是要求受害者透过指定的账号和密码，存取位于洋葱网络（Tor）的线上对话网站。

一旦受害者成功登入网站，就会看到类似即时通讯软件的聊天室，让他们与攻击者对话，讨论支付赎金的细节。

Palo Alto发现，这些出现在勒索软件的帐密，似乎是针对特定受害者所提供，为了证实这项推测，他们试图取得更多版本的Hive勒索软件档案，结果发现2个尚未被骇客列在Hive Leaks网站上的受害组织。因此，遭到Hive勒索软件攻击的组织可能有更多。

针对Hive勒索软件的攻击态势，美国联邦调查局（FBI）也在8月25日提出警告，表明位于俄亥俄州的Memorial Healthcare System，于8月中旬遭到此勒索软件的攻击，攻击者透过远端桌面连线（RDP）入侵该医疗单位，FBI认为，Hive此波攻击很可能针对医疗体系而来。此外，FBI也指出，有部分受害者接到勒赎电话，要求他们付钱换回档案。