Hive

Überblick

Bei Hive handelt es sich um eine Ransomware, die gezielt für den Betrieb als Ransomware-as-a-Service konzipiert wurde. Das Modell ermöglicht es auch wenig erfahrenen Kriminellen, eigene Angriffe durchzuführen, indem ihnen die Schadsoftware sowie die zugehörige Infrastruktur als Dienstleistung bereitgestellt wird. Die angeschlossenen Partner gehen weltweit gegen Einrichtungen unterschiedlicher Branchen vor, darunter Gesundheitsdienstleister, Energieversorger, gemeinnützige Organisationen und den Einzelhandel. Charakteristisch für die Entwicklung von Hive ist der Wechsel der Programmiersprache: Die ursprünglich in GoLang umgesetzte Schadsoftware wurde später in Rust neu geschrieben, wobei die Verschlüsselungsverfahren entsprechend angepasst wurden. Frühe Varianten setzten auf eine Kombination aus RSA und AES, während die neueren Rust-Versionen auf Curve25519 sowie ChaCha20/Poly1305 zurückgreifen. Der Betrieb erfolgte arbeitsteilig zwischen den Entwicklern der Schadsoftware und den ausführenden Partnern, bis die Infrastruktur im Rahmen einer Strafverfolgungsmaßnahme zerschlagen wurde.

Taktiken & Vorgehen

Der Erstzugang erfolgt über kompromittierte RDP-Zugangsdaten, die Ausnutzung öffentlich erreichbarer Microsoft-Exchange-Server sowie über Spearphishing-E-Mails mit schädlichen Anhängen. Zur Ausführung kommen PowerShell und die Windows-Eingabeaufforderung zum Einsatz, etwa um Sicherheitswerkzeuge zu deaktivieren und Backups zu löschen. Windows-Ereignisprotokolle werden mit „wevtutil“ bereinigt, Defender und weitere AV-/EDR-Lösungen vor der Verschlüsselung abgeschaltet. Mit Mimikatz werden Zugangsdaten aus dem LSASS-Speicher extrahiert; die seitliche Bewegung im Netz erfolgt über RDP und SMB-Admin-Freigaben. Zur Netzaufklärung dienen Werkzeuge wie Advanced IP Scanner, SoftPerfect NetScan und Bloodhound. Daten werden mit Rclone in Cloud-Speicher exfiltriert (Double Extortion), während Cobalt Strike, Impacket, Metasploit und Fernwartungssoftware wie ScreenConnect und Atera den Befehls- und Kontrollkanal sicherstellen. Schattenkopien und Backups werden vor der Verschlüsselung gelöscht.

Schutzmaßnahmen

Fernzugänge über RDP sollten über VPN und Mehr-Faktor-Authentisierung abgesichert und kompromittierte Zugangsdaten konsequent zurückgesetzt werden. Öffentlich erreichbare Microsoft-Exchange-Server sollten gehärtet und eingehende E-Mails mit Anhängen gefiltert werden, um Spearphishing zu begegnen. Die Ausführung von PowerShell und Skripten sollte eingeschränkt und protokolliert werden; Manipulationen an AV-/EDR-Lösungen sowie das Löschen von Ereignisprotokollen sollten überwacht und durch Schutzmechanismen verhindert werden. Der Zugriff auf den LSASS-Speicher sollte unterbunden werden, um das Abgreifen von Zugangsdaten mit Mimikatz zu erschweren. SMB-Admin-Freigaben sollten beschränkt werden. Auffälliger Datenabfluss in Cloud-Speicher sowie der Einsatz von Fernwartungssoftware sollten erkannt, und Schattenkopien gegen unbefugte Löschung geschützt werden.