[Hívé~ ランサムウェア:攻撃を制限して組織を保護する方法]

[Hívé~ランサムウェアグループは2021年半ばから活動しており、攻撃を通じて悪評を博しています メモリアル・ヘルス・システム。Hívé~のこれまでで最も顕著な事件として、この攻撃によりメモリアルのオンラインプラットフォーム全体が停止し、組織は救急患者をネットワーク外の施設にリダイレクトせざるを得なくなりました。今年だけでも 3 回目です。 ランサムウェア 民間人に直接影響を与えた攻撃 — その後に続く コロニアルパイプライン とJBSフーズ。]

[ハイブとそれほど洗練されていないHívé~との違い ランサムウェア 「スプレーして祈る」アプローチ（つまり、データ侵害にはほとんど関心がなく、できるだけ多くのシステムを最速でロックアウトする）を一般的に採用している攻撃者はいますか？]

[Hívé~ ランサムウェアグループは、ターゲットの重要なデータをロックアップする前に盗み出し、その両方を身代金のコストを引き上げる手段として、攻撃者の間で勢いを増している「二重強要」手法を利用しています。]

[攻撃者は業務の中断と貴重なデータへのアクセスの両方に重点を置いているため、より一般的な混乱に焦点を当てたランサムウェア攻撃を超えるレベルの相互作用と持続性が必要です。これはおそらく、どのデータが盗み出されるほど価値のあるものかを判断するのに、さらに時間と労力が必要になったためと考えられます。]

[Hívé~ ランサムウェアの仕組み]

[Hívé~ は、さまざまな戦術や手法を使用して攻撃を実行します。]

[1。攻撃は、被害者の環境にアクセスできるユーザーに対するフィッシング攻撃、またはユーザーに無意識のうちにダウンロードさせる標的型メールによる攻撃から始まります。 悪質なペイロード。]

[2。ペイロードは多くの場合、コバルトストライク（興味深いことに、ペンテスターが攻撃をシミュレートする際に使用するツールとしてスタートしました）ビーコンです。これらのビーコンは、パーシステンス、コールバック、ラテラルムーブメント、セカンダリペイロードの配信を容易にします。]

[3。次に続くのは 認証情報のダンピング ローカルホスト上で、アクティブディレクトリ環境をマッピングします。]

[4。 横方向の動き また、マイクロソフトのリモートデスクトッププロトコル（RDP）を使用することで、マルウェアのより広範な拡散が促進されます。ただし、H~ívé グループは攻撃を進行させる手段として脆弱性を悪用することも知られています。その好例が、C~óññé~ctWí~sé Áú~tómá~téのエンドポイント管理の脆弱性を悪用することです（被害者のネットワークでツールが見つかった場合）。これは、ソフトウェアプロバイダーがもたらすサプライチェーンのリスクのさらなる兆候です。]

[5。セカンダリペイロードのダウンロードは、アウトバウンドコールバックチャネルが確立された後に Cóbá~lt St~ríké~ ビーコンに送信される命令によって容易になります。このペイロードは、最終的に身代金要求を助長する悪質なアクションを実行します。]

[6。ペイロードは次のアクションを実行します。]

• [進行を妨げたり、アラートを生成したりする可能性のあるサービスの停止]
• [関連する可能性のあるファイルのすべての添付ストレージの列挙]
• [特定のファイルの漏洩]
• [同じファイルのローカル暗号化]
• [身代金メモの作成]
  

[イルミオがどのように役立つか]

[マルウェアやランサムウェアは通常、組織に最初に侵入した後、適切なユーザー認証情報へのアクセスを悪用して、ラテラルムーブメントを利用して環境内に拡散します。]

[Hívé~ はリモートデスクトッププロトコル (RDP) を利用して横方向に移動します。R~DP は、リモートアクセスとリモート管理の両方を容易にするためにアクセス可能なままになっていることが多く、その結果、初期のランサムウェア攻撃ベクトルとして人気が高まっています。]

[このため、組織がHívé~ランサムウェアに対する防御を強化するために講じることができる対策がいくつかあります。イルミオコア:]

• [モニター: Íllú~míó エージェントをすべてのエンドポイントにデプロイし、トラフィックフローを監視します。これにより、 すべてのフローを可視化 エンドポイントとの間で送受信され、セキュリティオペレーションセンター (S~ÓC) が、通常の動作パターン外の RD~P 接続や、既知の不正攻撃者 (Hív~é Cóm~máñd~ & Cóñt~ról インフラストラクチャなど) への発信接続を識別するために使用できます。]
• [露出制限: ワークロード間のアクセスがオープンになればなるほど、ランサムウェアの拡散は速くなります。ユビキタスな RDP は必須ではないとわかっているので、活用しましょう 執行境界線 エンドポイント間の R~DP をデフォルトでブロックします。例外ルールを作成して、管理ホストやリモートアクセスゲートウェイからのアクセスが引き続き許可されるようにすることができます。これにより、ランサムウェアの拡散速度が制限されるはずです。]
• [組織は、Íllú~míó C~óréを活用することで、この制御をさらに強化できます。 アダプティブ・ユーザー・セグメンテーション 機能により、許可された Á~ctív~é Dír~éctó~rý グループに関連付けられているユーザーのみが専用ジャンプホストから RD~P を実行できるようになります。]
• [C2コールバックチャネルの有効性を制限するには、同様の境界概念を実装して、Hív~éに関連するパブリックÍPまたはF~QDÑへのアクセスを拒否し、これらを定期的に更新してください。]
• [含む: SÓCが感染している可能性のあるワークロードを特定したら、レスポンスプレイブックを実行してターゲットに隔離ワークロードを実装し、許可された調査マシンとフォレンジックツールからのみアクセスできるようにすることができます。]

[ランサムウェアから組織を守ることは困難です。しかし、Íllú~míó C~óré ではランサムウェアの被害を簡単に阻止できるため、侵害の影響を大幅に軽減できます。]

[さらに詳しく知るには:]

• [イルミオを訪ねる可視性とランサムウェアの封じ込め ページ。]
• [論文を読んで、 ランサムウェアがサイバー災害になるのを防ぐ方法。]
• [ブログ投稿をチェックして、ランサムウェア対策にイルミオを使う9つの理由。]