在2021年微软就已针对Hive勒索软件发布Exchange服务器的安全补丁，并敦促企业及时进行部署，但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了Hive勒索软件的攻击，被黑客获得了系统权限。

在攻击获得系统权限之后，该勒索软件就会通过PowerShell脚本启动Cobalt Strike，并创建了一个名为“user”的新系统管理员账户。然后，攻击者使用Mimikatz（一款功能强大的轻量级调试神器）来窃取域管理员的NTLM哈希值，并获得对该账户的控制。在成功入侵后，Hive进行了一些发现，它部署了网络扫描仪来存储IP地址，扫描文件名中含有”密码”的文件，并尝试RDP进入备份服务器以访问敏感资产。

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷，用于窃取并加密文件，删除影子副本，清除事件日志，并禁用安全机制。随后，会显示一个勒索软件的说明，要求该组织与Hive的”销售部门”取得联系，该部门设在一个可通过Tor网络访问的.onion 地址。

被攻击的组织还被提供了以下指示：

● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。

● 不要修改或重命名加密的文件。你会失去它们。

● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

● 不要雇用恢复公司。没有密钥，他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者，但事实并非如此。他们通常会失败。所以要为自己说话。

● 不要拒绝（sic）购买。渗出的文件将被公开披露。

如果不向Hive付款，他们的信息将被公布在HiveLeaks Tor网站上。同一网站上还会显示一个倒计时，以迫使受害者付款。

该安全团队指出，在一个例子中，它看到攻击者在最初入侵的72小时内设法加密环境。因此，它建议企业立即给Exchange服务器打补丁，定期轮换复杂的密码，阻止SMBv1，尽可能限制访问，并在网络安全领域培训员工。

Hive 勒索软件操作已将他们的 VMware ESXi Linux 加密器转换为 Rust 编程语言，并添加了新功能，使安全研究人员更难窥探受害者的赎金谈判。

随着企业越来越依赖虚拟机来节省计算机资源、整合服务器以及更轻松地进行备份，勒索软件团伙正在创建专注于这些服务的专用加密器。

勒索软件团伙的 Linux 加密器通常针对 VMware ESXI 虚拟化平台，因为它们是企业中最常用的。

虽然Hive 一直在使用 Linux 加密器来针对 VMware ESXi 服务器，但最近的一个示例显示他们使用 BlackCat/ALPHV 勒索软件操作首次引入的功能更新了他们的加密器。

Hive 借鉴了 BlackCat 的功能

当勒索软件操作攻击受害者时，他们试图私下进行谈判，告诉受害者如果不支付赎金，他们的数据将被公布，他们的声誉将受到打击。

然而，当勒索软件样本上传到公共恶意软件分析服务时，它们通常会被安全研究人员发现，他们可以提取勒索记录并窥探谈判。

在许多情况下，这些谈判随后会在 Twitter 和其他地方公布，导致谈判失败。

BlackCat 勒索软件团伙从其加密器中删除了 Tor 协商 URL，以防止这种情况发生。相反，它要求在执行加密器时将 URL 作为命令行参数传递。

此功能可防止找到样本的研究人员检索 URL，因为它不包含在可执行文件中，仅在运行时传递给可执行文件。

虽然 Hive 勒索软件已经需要登录名和密码才能访问受害者的 Tor 协商页面，但这些凭据之前存储在加密器可执行文件中，因此很容易检索。

Hive Tor 赎金谈判网站

在 Group-IB 安全研究员 rivitna发现的新 Hive Linux 加密器中，Hive 操作现在要求攻击者在启动恶意软件时提供用户名和登录密码作为命令行参数。

Hive 勒索软件附属机构的说明

通过复制 BlackCat 的策略，Hive 勒索软件操作使得无法从 Linux 恶意软件样本中检索协商登录凭据，这些凭据现在只能在攻击期间创建的赎金记录中使用。

目前尚不清楚 Hive Windows 加密器是否也在使用这个新的命令行参数，但如果没有，我们可能很快就会看到它被添加。

Rivitna 还告诉 BleepingComputer，Hive 继续复制 BlackCat，将他们的 Linux 加密器从 Golang 移植到 Rust 编程语言，以使勒索软件样本更高效，更难进行逆向工程。

“Rust 允许获得更安全、快速和高效的代码，而代码优化使 Rust 程序的分析变得复杂，” rivitna 在 Twitter 上的一次聊天中告诉 BleepingComputer。

由于 VMware ESXi 虚拟机的加密是成功攻击的关键部分，因此勒索软件操作不断改进其代码，不仅要提高效率，而且要对操作和谈判保密。

随着越来越多的企业转向其服务器虚拟化，我们将继续看到勒索软件开发人员不仅专注于 Windows 设备，而且还创建针对 ESXi 的专用 Linux 加密器。

因此，所有安全专业人员和网络管理员都需要密切关注他们的 Linux 服务器以检测攻击迹象。

斯洛伐克互联网安全公司 ESET对Hive 勒索软件的分析

Hive 勒索软件团伙现已专门针对 Linux 和FreeBSD 这些平台，开发出了新恶意软件变体进行加密。不过，Hive 勒索软件团伙的新加密机仍在开发中缺乏功能。

ESET的研究人员在分析过程中发现，Hive 勒索软件的 Linux 版变体被证明存在明显 Bug ，当恶意软件以显式路径执行时，加密就会完全失败。

此外，该 Linux 版变体还自动支持单个命令行参数（-no-wipe）。相比之下，Hive 的 Windows 版勒索软件最多可提供5种执行选项，如终止进程，跳过磁盘清理、无趣文件和旧文件。

如果没有 root 权限的情况下执行，勒索软件的 Linux 版本变体也是无法触发加密的，因为它试图在受损设备的根文件系统上删除勒索说明。

ESET研究实验室表示：“就像 Windows 版本一样，这些Linux 版本的变体也是用 Go 语言编写的，但是字符串、包名和函数名都被混淆了，很可能是通过混淆工具 gobfuscate 来实现的。”

勒索软件的攻击目标开始转向 Linux 服务器

据了解，勒索软件组织 Hive 至少从 2021 年 6 月份开始活跃，至今已袭击了 30 多个组织（仅包括拒绝支付赎金的受害者）。

然而，Hive 仅是开始拿 Linux 服务器作为攻击目标的众多勒索软件团伙之一。

通过瞄准虚拟机，勒索软件运营商可以用一个命令同时加密多个服务器。

有报道称，早在今年6月份，研究人员就发现了一种叫做 REvil 的新型勒索软件 Linux 加密机，其设计目标正是针对 VMware ESXi 虚拟机的（一种流行的企业虚拟机平台）。

奥地利的知名的病毒安全软件 Emsisoft 首席技术官 Fabian Wosar 在媒体采访中表示，其他勒索软件集团，如 Babuk、RansomExx/Defray、Mespinoza、GoGoogle、DarkSide 和 Hellokitty ，他们也创建了自己的 Linux 加密机。

Wosar称：“大多数勒索软件集团，实施基于 Linux 版本勒索软件的原因，都是专门针对 ESXi 的”。

过去一段时间 在Snatch 和 PureLocker 的勒索软件操作里，也使用了 Linux 版本变体进行过攻击。

今年7月和8月份，HelloKitty 、 Blackmate 勒索软件 Linux 加密机均被安全研究人员在野外发现。一个月后，经研究发现其中一些 Linux 版本的恶意软件中也存在Bug，可能在加密过程中损坏受害者的文件。

Hive 勒索软件案例：某东欧大型加油站Rompetrol

 东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击，勒索团伙Hive要求Rompetrol支付200万美元作为赎金，否则将拒绝提供解码器并且对外泄露其重要数据。

该公司的大部分IT服务受到影响，包括官网、App等，顾客只能使用现金或刷卡的方式进行支付。截至 3 月 8 日，Rompetrol的Fill&Go应用程序以及母公司KMG的官方网站仍处于崩溃状态。

Rompetrol是罗马尼亚最大的炼油厂Petromidia Navodari的配套油站运营商，年石油加工能力超过500万吨。Rompetrol的母公司KMG International经营炼油、营销、贸易、生产以及钻井、EPCM（设计采购和施工管理）、运输等一系列石油行业服务，在欧洲、北非、中亚等15个国家拥有大量客户。

Rompetrol发布的公告

Rompetrol公司表示，“为了保护数据，公司暂停了网站与Fill&Go服务的正常运营，客户暂时无法访问。”

Hive勒索软件出现于2021年1月出现，最初以攻击医疗系统而臭名昭著，近日来转而攻击零售行业，于2021年第三季度已跻身全球十大勒索软件团伙之一。大多数勒索软件团伙侧重于windows平台，而Hive 却不同，Hive 对Windows、Linux和EXSi管理程序均会进行无差别攻击，攻击范围更加广泛。

“与大多数勒索软件组织一样，防止Hive的攻击需要企业自身的预防。采取勒索软件安全预防措施和容灾应急机制非常重要。”Recorded Future的勒索软件专家Allan Liska说道。