Hoe werkt een Hive aanval zoals op MediaMarkt?

Erik Westhovens, CSI Security Architect & Evangelist bij Insight

09-11-2021 | door: Blog
Deel dit artikel:

Hoe werkt een Hive aanval zoals op MediaMarkt?

MediaMarkt ligt plat door een ransomware aanval. Ze geven zelf aan dat het een zogenaamde Hive aanval is. Zo heet de groepering achter de aanval. Maar hoe werkt dat nou? Hoe krijgen ze 3100 servers encrypted voordat een bedrijf het door heeft? Erik Westhovens (foto), CSI Security Architect & Evangelist bij Insight, legt het in deze blog uit.

Hive maakt gebruik van phishing mails. De eindgebruiker die de mail ontvangt en erop klikt start een programma wat de payload heet. dat programma nestelt zich in het eindgebruikers device. In eerste instantie blijft het rustig draaien en wachten op een trigger of dat de timer afloopt en dan start het programma zijn actie. Hier word Cobalt strike voor gebruikt die zijn rechten verhoogd door LSASS (Local security authority subsystem) te infiltreren en zichzelf system rechten te geven. Daarna treed er callback op waardoor de hackers met een script de tweede payload kunnen laden.

Die tweede payload verspreid de infectie naar andere devices en geeft de aanvaller de mogelijkheid om zich richting de servers te begeven. Heel vaak word hier de ADFS infrastructuur voor gebruikt omdat die vrij makkelijk te penetreren zijn. En dan nestelt het zich als een programmaatje onder svchost waardoor het niet gedetecteerd wordt

Hive is een zogenaamd double extortion ransomware. Ze stelen dus alle data voordat ze deze encrypten. het voordeel is dat ze het bedrijf kunnen dreigen om deze data vrij te geven, maar veel belangrijker is dat ze geen herstelcodes nodig hebben. De ransomware vernietigd dus eigenlijk alle bestanden en aangezien de backups mee besmet worden is herstel vaak onmogelijk.

Het is dan ook wel logisch dat MediaMarkt nu onderhandelt om hun data terug te krijgen omdat ze anders wel eens helemaal bij af zijn.

De eerste ransomware bail was 240 miljoen dollar maar is inmiddels terug gebracht naar 50 miljoen.

Was dit te voorkomen? Die vraag kreeg ik gisteren avond best veel en het antwoord is Ja. Die hacker houd je niet buiten. De eindgebruiker die initieel op de mail heeft geklikt was niet cyber aware genoeg, maar ook als admin kun je ruimschoots voldoende stappen nemen. Denk eens aan detectie. Die initiële klik is gewoon te detecteren en als je hem ziet kun je prima maatregelen gaan nemen om de hackers de pas af te snijden en de diepe besmetting te voorkomen. Tussen de intrusion en de activatie van de ransomware zit gemiddeld 56 dagen. In die 56 dagen kun je heel veel signalen krijgen en als je die juist interpreteert kun je de "echte" aanval stoppen.

Er word vaak gedacht dat cybersecurity duur is, maar kijk eens wat een aanval je kost.

Door: Erik Westhovens, CSI Security Architect & Evangelist bij Insight

Terug naar nieuws overzicht
Security