Hive ランサムウェアは、2021 年 6 月に初めて観測されてからまだ 1 年ほどしか経っていませんが、サービスとしてのランサムウェア (RaaS)エコシステムで最も普及しているランサムウェア ペイロードの 1 つに成長しました。最新の亜種にはいくつかの主要なアップグレードが含まれており、Hive はランサムウェア ファミリの中で最も急速に進化していることも証明しており、絶え間なく変化するランサムウェア エコシステムを実証しています。
最新の亜種のアップグレードは、事実上オーバーホールです。最も注目すべき変更には、別のプログラミング言語への完全なコードの移行と、より複雑な暗号化方式の使用が含まれます。 Hive は RaaS ペイロードであり、 DEV-0237 のような大規模なランサムウェア アフィリエイトによるヘルスケアおよびソフトウェア業界の組織に対する攻撃で Microsoft が確認したことを考えると、これらの更新の影響は広範囲に及びます。
Microsoft Threat Intelligence Center (MSTIC) は、検出された Hive ランサムウェア技術を分析して.keyファイルをドロップする際に、新しい亜種を発見しました。 Hive が、暗号化されたファイルの復号化に使用される暗号化されたキーを含む暗号化キー ファイルをドロップし、一貫した命名パターンを使用していることはわかっています。
[KEY_NAME].key.[VICTIM_IDENTIFIER] (例: BiKtPupMjgyESaene0Ge5d0231uiKq1PFMFUEBNhAYv_.key.ab123)
上記の.keyファイルには、ファイル名の [VICTIM_IDENTIFIER] の部分が欠落していたため、それらを投下した Hive ランサムウェアの詳細な分析が促されました。この分析により、新しい Hive 亜種とその複数のバージョンが発見されました。これらは、コマンド ラインと実行されたプロセスで使用可能なパラメーターがわずかに異なることを示しています。
新しい亜種のサンプルでこれらのパターンを分析したところ、さらに多くのサンプルが発見されましたが、すべて検出率が低く、Hive として正しく識別されたサンプルはありませんでした。このブログでは、Hive に依存するマルウェア攻撃から組織をより適切に特定して保護するための情報をアナリストと防御者に提供することを目的として、主な機能とアップグレードを含む、新しい Hive 亜種の詳細な分析を共有します。
分析と主な調査結果
GoLang から Rust への切り替え
新しい Hive 亜種と古い亜種の主な違いは、使用されるプログラミング言語です。古いバリアントは Go (GoLang とも呼ばれます) で記述されていましたが、新しい Hive バリアントは Rust で記述されています。
Hive は、Rust で作成された最初のランサムウェアではありません。別の流行しているランサムウェアである BlackCat が最初でした。基盤となるコードを Rust に切り替えることで、Hive は Rust が他のプログラミング言語よりも優れている次の利点を活用できます。
- メモリ、データ型、およびスレッド セーフを提供します
- 低レベルのリソースを詳細に制御します
- ユーザーフレンドリーな構文を持っています
- 並行性と並列性のためのいくつかのメカニズムを備えているため、高速で安全なファイル暗号化が可能です
- さまざまな暗号化ライブラリがあります
- リバースエンジニアリングは比較的難しい
文字列の暗号化
新しい Hive の亜種は、文字列の暗号化を使用しているため、より回避しやすくなっています。文字列は.rdataセクションにあり、実行時に定数との XOR によって復号化されます。同じ文字列の暗号化を解除するために使用される定数は、サンプル間で異なる場合があり、検出の根拠として信頼性が低くなります。
たとえば、文字列「!error no flag -u <login>:<password> provided」の一部が復号化されているセクションを見てみましょう。 1 つのサンプル (SHA-256: f4a39820dbff47fa1b68f83f575bc98ed33858b02341c5c0464a49be4e6c76d3) では、定数は 0x9F2E3F1F と 0x95C9 です。
別のサンプル (SHA-256: 6e5d49f604730ef4c05cfe3f64a7790242e71b4ecf1dc5109d32e811acf0b053) では、定数は 0x3ECF7CC4 と 0x198F です。
一部のサンプルは、同じ文字列を復号化するときに定数を共有します。たとえば、パラメータ文字列「-da」が復号化される場所を見てみましょう。 1 つのサンプル (SHA-256: 88b1d8a85bf9101bc336b01b9af4345ed91d3ec761554d167fe59f73af73f037) では、定数は 0x71B4 と 2 です。
別のサンプル (SHA-256: 33744c420884adf582c46a4b74cbd9c145f2e15a036bb1e557e89d6fd428e724) では、定数は同じです。
コマンドライン パラメータ
古い Hive の亜種では、Hive 身代金支払い Web サイトにアクセスするために使用されるユーザー名とパスワードがサンプルに埋め込まれています。新しい亜種では、これらの認証情報をコマンド ラインの「-u」パラメーターで指定する必要があります。つまり、アナリストはサンプル自体から認証情報を取得することはできません。
ほとんどの最新のランサムウェアと同様に、Hive にはコマンドライン パラメーターが導入されています。これにより、機能を追加または削除することでペイロードを実行する際に攻撃者が柔軟に対応できるようになります。たとえば、攻撃者は、リモート共有またはローカル ファイルのみのファイルを暗号化するか、暗号化の最小ファイル サイズを選択することができます。新しい Hive 亜種では、さまざまなサンプルで次のパラメータが見つかりました。
パラメータ | 機能性 |
-ノーローカル | ローカル ファイルを暗号化しない |
-ノーマウント | マウントされたネットワーク共有上のファイルを暗号化しない |
-発見なし | ネットワーク共有を検出しない |
-ローカルのみ | ローカル ファイルのみを暗号化する |
-ネットワークのみ | ネットワーク共有上のファイルのみを暗号化する |
-明示のみ | 特定のフォルダーを暗号化します。たとえば、 「-explicit-only c:mydocs c:myphotos」 |
-最小サイズ | 暗号化する最小ファイル サイズ (バイト単位)。たとえば、 「-min-size 102400」は、サイズが 100kb 以上のファイルを暗号化します |
-だ | 【使用状況を分析中】 |
-f | 【使用状況を分析中】 |
-力 | 【使用状況を分析中】 |
-wmi | 【使用状況を分析中】 |
全体として、異なるバージョンには異なるパラメータがあり、常に更新されているようです。 「ヘルプ」メニューがあった以前の亜種とは異なり、新しい亜種では、攻撃者は事前にパラメーターを知っている必要があります。すべての文字列が暗号化されているため、セキュリティ研究者にとってパラメータを見つけることは困難です.
停止したサービスとプロセス
ほとんどの高度なマルウェアと同様に、Hive は、攻撃チェーンの邪魔になる可能性のあるセキュリティ ソリューションやその他のツールに関連するサービスやプロセスを停止します。 Hive は、 trustedinstaller.exeとwinlogon.exeのプロセス トークンを偽装しようとするため、Microsoft Defender ウイルス対策などのサービスを停止できます。
Hive は次のサービスを停止します。
windefend、msmpsvc、kavsvc、antivirservice、zhudongfungyu、vmm、vmwp、sql、sap、oracle、mepocs、veeam、backup、vss、msexchange、mysql、sophos、pdfservice、backupexec、gxblr、gxvss、gxclmgrs、gxvcd、gxcimgr、gxmmm、 gxvsshwprov、gxfwd、sap、qbcfmonitorservice、qbidpservice、acronisagent、veeam、mvarmor、acrsch2svc
また、次のプロセスも停止します。
dbsnmp、dbeng50、bedbh、excel、encsvc、visios、firefox、isqlplussvc、mspub、mydesktopqos、メモ帳、ocautoupds、ocomm、ocssd、onenote、outlook、sqbcoreservice、sql、steam、tbirdconfig、thunderbird、winword、wordpad、xfssvccon、vxmon、 benetns、bengien、pvlsvr、raw_agent_svc、cagservice、sap、qbidpservice、qbcfmonitorservice、teamviewer_service、teamviewer、tv_w32、tv_x64、cvd、saphostexec、sapstartsrv、avscc、dellsystemdetect、enterpriseclient、veeam、thebat、cvfwd、cvods、vsnapvss、msaccess、vaultsvc、 beserver、appinfo、qbdmgrn、avagent、スプーラ、powerpnt、cvmountd、synctime、oracle、wscsvc、winmgmt、*sql*
開始されたプロセス
ランサムウェア アクティビティの一環として、Hive は通常、バックアップを削除して回復を妨げるプロセスを実行します。バージョンによって違いがあり、一部のサンプルではこれらのすべてのプロセスが実行されない場合がありますが、最も多くのプロセスを開始する 1 つのサンプルは SHA-256 です:
- 「vssadmin.exe シャドウを削除 /all /quiet」
- 「wmic.exe シャドウ コピーの削除」
- 「wbadmin.exe 削除 systemstatebackup」
- 「wbadmin.exe カタログを削除 -quiet」
- 「bcdedit.exe /set {デフォルト} recoveryenabled いいえ」
- 「bcdedit.exe /set {デフォルト} bootstatuspolicy ignoreallfailures」
- 「wbadmin.exe delete systemstatebackup -keepVersions:3」
身代金メモ
Hive の身代金メモも変更され、新しいバージョンでは.keyファイルが新しいファイル名規則で参照され、仮想マシン (VM) に関する文が追加されています。
古い亜種には、ユーザー名とパスワードが埋め込まれていました ( hiddenとしてマークされています)。新しいバリアントでは、ユーザー名とパスワードはコマンド ライン パラメーター-uから取得され、 test_hive_username と test_hive_passwordというラベルが付けられます。
古い身代金メモのテキスト:
ネットワークが侵害され、すべてのデータが暗号化されました。 個人データ、財務報告書、および重要な文書を開示する準備ができています。 すべてのデータを復号化し、盗み出されたファイルが[編集済].onion/ 復号化ソフトウェアを購入する必要があります。 営業部までお問い合わせください: http://hive[編集済].onion/ ログイン: [編集済] パスワード: [編集済] .onion Web サイトにアクセスするには、Tor Browser を次の場所からダウンロードしてインストールします。 https://www.torproject.org/ (Torブラウザは弊社とは関係ありません) データが失われないように、次のガイドラインに従ってください。 - *.key.abc12 ファイルを変更、名前変更、または削除しないでください。あなたのデータは 解読不能。 - 暗号化されたファイルを変更したり、名前を変更したりしないでください。あなたはそれらを失うでしょう。 - 警察や FBI などに報告しないでください。彼らはあなたのビジネスに関心がありません。 彼らは単にあなたが支払うことを許可しません.その結果、すべてを失うことになります。 - 回収会社を雇わないでください。キーがないと解読できません。 彼らはあなたのビジネスにも関心がありません。彼らは自分たちがそうであると信じています 良い交渉者ですが、そうではありません。彼らは通常失敗します。だから自分で話してください。 - 購入を拒否しないでください。盗み出されたファイルは公開されます。http://hive
新しい身代金メモのテキスト:
ネットワークが侵害され、すべてのデータが暗号化されました。 個人データ、財務報告書、および重要な文書を開示する準備ができています。 すべてのデータを復号化し、盗み出されたファイルが[編集済].onion/ 復号化ソフトウェアを購入する必要があります。 営業部までお問い合わせください: http://hive[編集済].onion/ ログイン: test_hive_username パスワード: test_hive_password .onion Web サイトにアクセスするには、Tor Browser を次の場所からダウンロードしてインストールします。 https://www.torproject.org/ (Torブラウザは弊社とは関係ありません) データが失われないように、次のガイドラインに従ってください。 - VM を削除または再インストールしないでください。解読するものは何もありません。 - *.key ファイルを変更、名前変更、または削除しないでください。あなたのデータは 解読不能。 - 暗号化されたファイルを変更したり、名前を変更したりしないでください。あなたはそれらを失うでしょう。 - 警察や FBI などに報告しないでください。彼らはあなたのビジネスに関心がありません。 彼らは単にあなたが支払うことを許可しません.その結果、すべてを失うことになります。 - 回収会社を雇わないでください。キーがないと解読できません。 彼らはあなたのビジネスにも関心がありません。彼らは自分たちがそうであると信じています 良い交渉者ですが、そうではありません。彼らは通常失敗します。だから自分で話してください。 - 購入を拒否しないでください。盗み出されたファイルは公開されます。http://hive
暗号化
Hive 亜種の最も興味深い変更点は、その暗号化メカニズムです。この新しい亜種は、2022 年 2 月 17 日に韓国の国民大学の研究者グループが論文「Hive ランサムウェアに感染したデータを解読する方法」を発表したわずか数日後の 2022 年 2 月 21 日に VirusTotal に最初にアップロードされました。一定の開発期間を経て、新しい亜種は 2 月 22 日にマイクロソフトの脅威データに初めて登場しました。
新しい亜種は、Curve25519 を使用した Elliptic Curve Diffie-Hellmann (ECDH) とXChaCha20 -Poly1305 (ChaCha20 対称暗号による認証済み暗号化) という異なる一連のアルゴリズムを使用します。
独自の暗号化アプローチ
新しい Hive 亜種は、ファイル暗号化に独自のアプローチを使用しています。暗号化する各ファイルに暗号化されたキーを埋め込む代わりに、メモリ内に 2 セットのキーを生成し、それらを使用してファイルを暗号化し、暗号化して、暗号化するドライブのルートにセットを書き込みます。どちらも .key 拡張子が付いています。
ファイルの暗号化に使用されたキー セットを示すために、対応する暗号化キーを含む .key ファイルの名前が、ディスク上の暗号化されたファイルの名前に追加され、その後にアンダースコアと Base64 文字列が続きます (アンダースコアとハイフンを文字セットに追加)。 Base64 でデコードされると、文字列には 2 つのオフセットが含まれ、各オフセットは対応する.keyファイル内の異なる場所を指します。このようにして、攻撃者はこれらのオフセットを使用してファイルを復号化できます。
たとえば、Hive を実行した後、次のファイルがC:ドライブにドロップされました。
- C: 3bcVwj6j.key
- C:l0Zn68cb.key
この例では、 myphoto.jpgという名前のファイルはC:myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8に名前が変更されます。次のセクションで説明するように、新しい亜種のキー セットの生成は、古い亜種とはまったく異なります。ただし、実際のファイル暗号化は非常に似ています。
鍵セットの生成
サイズ 0xCFFF00 バイトのバッファが割り当てられます。 2 つのカスタム関数を使用してランダム バイトを生成します (デモンストレーションのために「 random_num_gen」と「 random_num_gen_2」とラベル付けされています)。このバッファーの最初の 0xA00000 バイトはランダム バイトで埋められ、残りの 0x2FFF00 バイトは、以前にバッファーにコピーされた最初の 0x2FFF00 ランダム バイトから単純にコピーされます。
各バッファの内容はキー セット (対称キーのコレクション) です。 2 つのバッファが割り当てられるため、2 つのキー セットがあります。暗号化プロセスでは、マルウェアはキー セットの 1 つからファイルごとに異なるキー (バイト シーケンス) をランダムに選択し、それらを使用して、キーのバイト シーケンスとファイルのコンテンツを XOR することでファイルを暗号化します。
キー セットごとにカスタム 64 バイト ハッシュが用意されています。このハッシュは後で使用されます。
ハッシュが計算され、他のいくつかの文字列が復号化された後、暗号化プロセスは次の手順を実行します。
- 上で紹介したのと同じ関数を使用して、 victim_private_keyを生成します。
- Curve25519 で ECDH を使用して、 victim_public_keyを生成します。入力はvictim_private_keyで、基点は9の後に31個のゼロが続きます(サンプルに埋め込まれています)。
- Poly1305-XChaCha20 で、XChaCha アルゴリズムの 24 バイトの nonce を生成します。
- Curve25519 で ECDH を使用してshared_secretを生成します。入力は、 victim_private_keyとhive_public_keyです。次に、ChaCha20 を使用して、 hive_public_key (nonce として) を含む shared_secret (キーとして) を使用して、 derived_keyを導出します。
- Poly1305-XChaCha20 を使用してキー セットを暗号化します。暗号化に使用される値は、キー セット、派生キー、ナンス、および埋め込み関連データ (AD) です。この関数は、キー セットを暗号化し、暗号化されたキーのバッファーの末尾に 16 バイトの認証タグを追加します。認証タグがチェックされるかどうかは不明です。
鍵セットが最終的に暗号化されたので、ノンス、 victim_public_key 、暗号化された鍵セット、および認証タグが次々と新しいバッファーにコピーされます。このバッファー (これをencrypted_structure_1とラベル付けします) は新しい鍵セットとして扱われ、上記と同じ方法を使用して再度暗号化されますが、2 番目のhive_public_keyが使用されます。今回は、関数は新しいナンス、 victim_private_keyなどを出力します。関連するデータのみが同じです。
最後に、 second_nonce 、 second_victim_public_key 、および暗号化されたencrypted_structure_1を含む新しいバッファーが、暗号化するドライブのルート (たとえば、 C: ) に書き込まれます。 create_extension関数は、以前に作成されたカスタム ハッシュの最初の 6 バイトに基づいて Base64 文字列を生成します。この Base64 文字列はファイル名として機能し、ファイルの拡張子は単に「.key」です。
以下の図は、上記の暗号化方式を示しています。
上の図のように、「Keys sets encryption flow」は 2 回実行されます。最初のラウンドでは、元のキー セットを入力として実行されます。 2回目は「暗号化構造1」を入力として実行。 2 回目の実行では、AD (関連付けられたデータ) と Basepoint 9 を除いて、他のすべての入力値が異なります。
したがって、次の値は 2 回目の実行で新しい値になります。
ファイル暗号化
両方のキー ファイルがディスクに書き込まれると、マルチスレッド ファイル暗号化が開始されます。各ファイルを暗号化する前に、マルウェアはその名前と拡張子を文字列のリストと照合します。一致する場合、ファイルは暗号化されません。たとえば、拡張子が .exe のファイルは、文字列のリストに .exe が含まれている場合、暗号化されません。このリストは実行時に暗号化および復号化されることに注意してください。
古い亜種で見られたのと同じファイル暗号化方式が新しい亜種でも使用されています。2 つの乱数が生成され、キー セットへのオフセットとして使用されます。各オフセットは 4 バイトです。
暗号化のために、ファイルのコンテンツは、オフセットに従って、キー セットからのバイトで XOR されます。ファイル バイトは 2 回 XOR されます。1 回目は最初のオフセットに従って、2 回目は 2 番目のオフセットに従って実行されます。ファイルは 0x100000 バイトのブロックで暗号化され、ブロックの最大数は 100 です。暗号化されたブロックの間には、 block_spaceで定義された間隔があります。メモリ内での暗号化が完了すると、暗号化されたデータがディスクに書き込まれ、元のファイルが上書きされます。
ファイルの暗号化が開始された後にcreate_extensionが呼び出されるタイミングを見ると、以前の亜種で同様の構造を認識しました。
EDBtmp.logというファイルでcreate_extensionが呼び出される直前の r9 レジスタのアドレスの値 (72 D7 A7 A3 F5 5B FF EF 21 6B 11 7C 2A 18 CD 00) を見てみましょう。
古いバリアントでは、キー ファイル名とオフセット値を区切る区切り文字として 0xFF が使用されていたことを思い出してください。ここでも見ることができます。最初の 6 バイト (72 D7 A7 A3 F5 5B) を Base64 に変換すると、次のようになります。
クテノ/Vb
そして、 create_extensionをステップ オーバーすると、同様の結果が得られます — .keyファイル名としてcteno_Vbが取得されます (注: Hive は別の Base64 文字セットを使用するため、「/」は「_」に置き換えられました)。
Microsoft は、引き続き Hive オペレーターの活動を監視し、お客様のために保護を実装します。現在の検出、高度な検出、セキュリティ侵害の痕跡 (IOC) の詳細は、以下のとおりです。
お客様に推奨されるアクション
新しい Hive 亜種で使用される手法は、以下に示すセキュリティ上の考慮事項を採用することで軽減できます。
- 含まれている IOC を使用して、それらが環境内に存在するかどうかを調査し、潜在的な侵入を評価します。
サービス経済としてのランサムウェアに関する最近のブログでは、次の各領域に深く潜むランサムウェアの脅威から身を守る方法についての完全なガイドを掲載しています。読者の皆様には、次の内容に関する包括的なガイドについて、このブログを参照することをお勧めします。
- クレデンシャルの衛生状態を構築する
- 資格情報の公開の監査
- Active Directory 更新プログラムの展開の優先順位付け
- クラウド強化
- ID インフラストラクチャをセキュリティで保護するためのAzure セキュリティ ベンチマークと一般的なベスト プラクティスを実装します。
- クラウド管理者/テナント管理者が、ドメイン管理者と同じレベルのセキュリティと資格情報衛生で扱われるようにします。
- 認証範囲のギャップに対処します。
- すべてのアカウントに MFA を適用し、MFA から除外されたユーザーを削除し、常にすべての場所のすべてのデバイスにMFAを厳密に要求します。
- パスワードレスをサポートするアカウントに対して、パスワードレスの認証方法 (Windows Hello、FIDO キー、Microsoft Authenticator など) を有効にします。パスワードが必要なアカウントについては、Microsoft Authenticator for MFA などの認証アプリを使用してください。
- レガシー認証を無効にします。
Microsoft 365 Defender のお客様は、次のチェックリストによってセキュリティの盲点が解消されます。
- Microsoft Defender ウイルス対策でクラウド提供の保護を有効にして、急速に進化する攻撃者のツールと手法をカバーし、新しい未知のマルウェアの亜種をブロックし、攻撃面の削減ルールと改ざん保護を強化します。
- 改ざん防止機能を有効にして、攻撃者がセキュリティ サービスを停止できないようにします。
- Microsoft Defender for Endpoint が、Microsoft 以外のウイルス対策が脅威を検出しない場合や Microsoft Defender ウイルス対策がパッシブ モードで実行されている場合でも、悪意のあるアーティファクトをブロックできるように、 EDR をブロック モードで実行します。ブロック モードの EDR は、Microsoft 脅威インテリジェンス チームによって事前に特定されたインジケーターもブロックします。
- ネットワーク保護を有効にして、アプリケーションやユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
- 完全に自動化されたモードで調査と修復を有効にして、Microsoft Defender for Endpoint がアラートに対して即座にアクションを実行して違反を解決できるようにします。
- デバイス検出を使用して、管理されていないデバイスを見つけて Microsoft Defender for Endpoint にオンボードすることで、ネットワークの可視性を高めます。
- Microsoft Defender for Identity を使用して、ユーザーの ID と資格情報を保護します。これは、オンプレミスの Active Directory シグナルを利用してユーザーの行動を監視および分析し、疑わしいユーザー アクティビティ、構成の問題、アクティブな攻撃を特定するクラウドベースのセキュリティ ソリューションです。
侵害の痕跡 (IOC)
以下のリストは、調査中に確認され、このブログに含まれている IOC の部分的なリストです。お客様には、環境内でこれらの指標を調査し、検出と保護を実装して過去の関連アクティビティを特定し、システムに対する将来の攻撃を防止することをお勧めします。
インジケータ | タイプ | 説明 |
f4a39820dbff47fa1b68f83f575bc98ed33858b02341c5c0464a49be4e6c76d3 | SHA-256 | Hive Rust バリアント ペイロード |
88b1d8a85bf9101bc336b01b9af4345ed91d3ec761554d167fe59f73af73f037 | SHA-256 | Hive Rust バリアント ペイロード |
065208b037a2691eb75a14f97bdbd9914122655d42f6249d2cca419a1e4ba6f1 | SHA-256 | Hive Rust バリアント ペイロード |
33744c420884adf582c46a4b74cbd9c145f2e15a036bb1e557e89d6fd428e724 | SHA-256 | Hive Rust バリアント ペイロード |
afab34235b7f170150f180c7afb9e3b4e504a84559bbd03ab71e64e3b6541149 | SHA-256 | Hive Rust バリアント ペイロード |
36759cab7043cd7561ac6c3968832b30c9a442eff4d536e901d4ff70aef4d32d | SHA-256 | Hive Rust バリアント ペイロード |
481dc99903aa270d286f559b17194b1a25deca8a64a5ec4f13a066637900221e | SHA-256 | Hive Rust バリアント ペイロード |
6e5d49f604730ef4c05cfe3f64a7790242e71b4ecf1dc5109d32e811acf0b053 | SHA-256 | Hive Rust バリアント ペイロード |
32ff0e5d87ec16544b6ff936d6fd58023925c3bdabaf962c492f6b078cb01914 | SHA-256 | Hive Rust バリアント ペイロード |
注:これらのインジケーターは、この観察されたアクティビティを網羅しているとは見なされません。
検出
Microsoft 365 ディフェンダー
Microsoft Defender ウイルス対策
Microsoft Defender ウイルス対策は、ビルド バージョン 1.367.405.0 以降を使用して、次のファミリ名でこの脅威を検出します。
- 身代金:Win64/ハイブ
- 身代金:Win32/ハイブ
エンドポイント検出のための Microsoft Defender
Microsoft Defender for Endpoint のお客様は、攻撃の可能性を示すものとして、次のアラートのいずれかまたは組み合わせが表示される場合があります。これらのアラートは、必ずしも Hive の侵害を示しているわけではありませんが、調査する必要があります。
- ファイル システムで検出されたランサムウェアの動作
- ファイルのバックアップが削除されました
- 複数のファイルを変更するランサムウェア感染の可能性
- ランサムウェア活動の可能性
- ランサムウェアに関連する新たな脅威の活動グループが検出されました
高度なハンティング クエリ
マイクロソフト センチネル
このブログ投稿で言及されている可能性のある Hive ランサムウェア アクティビティを特定するために、Microsoft Sentinel のお客様は、以下に詳述するクエリを使用できます。
Hive ランサムウェアの IOC を特定する
このクエリは、Hive ランサムウェアに関連する IOC のさまざまなデータ フィードでの一致を識別します。
バックアップの削除を特定する
このハンティング クエリは、バックアップ ファイルを削除しようとするランサムウェアの試みを検出するのに役立ちます。
Hive ランサムウェアの Microsoft Defender ウイルス対策検出を特定する
このクエリは、Hive ランサムウェアに関連する Microsoft Defender ウイルス対策の検出を探し、アラートを他のデータ ソースと結合して、デバイス、IP、サインインしているユーザーなどの追加情報を表示します。
参照: https://www.microsoft.com/en-us/security/blog/2022/07/05/hive-ransomware-gets-upgrades-in-rust/
Comments