6 vragen over de gevaarlijke ransomware Hive

De Hive-ransomware grijpt de laatste maanden om zich heen. Waarschijnlijk was ook elektronicaketen MediaMarkt slachtoffer van deze gevaarlijke gijzelsoftware. Hoe gaan de cybercriminelen achter Hive te werk? En wat kunt u doen om uw organisatie hiertegen te beschermen?

Wat is Hive?

Hive is een groep cybercriminelen die sinds juni 2021 verantwoordelijk is voor een reeks ransomware-aanvallen. De Hive-ransomware versleutelt bestanden niet alleen, maar dreigt ook om gestolen data openbaar te maken als het losgeld niet betaald wordt. Dit wordt ‘double extortion’ of dubbele afpersing genoemd. Slachtoffers krijgen enkele dagen tot soms meer dan een week om aan de eis te voldoen.

Hive is in korte tijd uitgegroeid tot een beruchte ransomware-bende. Eind augustus waarschuwde de FBI al voor de opkomst van deze gijzelsoftware. Volgens RTL Nieuws zit de Hive-bende ook achter de ransomware-aanval op MediaMarkt.

Wat is er gebeurd bij MediaMarkt?

Op 8 november werd bekend dat de Europese vestigingen van MediaMarkt zijn getroffen door een grote cyberaanval. Hierdoor was het niet meer mogelijk om producten af te halen en te retourneren. RTL Nieuws meldde op basis van interne communicatie dat de computers in de winkel niet meer te gebruiken waren. Medewerkers werd verzocht om de netwerkkabels uit kassa’s te halen.

Een dag later kwam RTL Nieuws met meer informatie over de aard van het incident. Het zou gaan om een aanval met de Hive-ransomware. MediaMarkt heeft dit zelf overigens niet bevestigd. Volgens RTL Nieuws eisten de cybercriminelen maar liefst 43 miljoen euro in ruil voor toegang tot de gegijzelde systemen. Het is niet bekend of MediaMarkt tot betaling is overgegaan.

Siep van der Waal, securityonderzoeker bij KPN Security, vermoedt ook dat het om Hive gaat. “De problemen met afhalen en retourneren wijzen erop dat het voorraadsysteem niet meer toegankelijk was. Het verzoek om kassasystemen te ontkoppelen leek mij een noodoplossing. Normaal gesproken kan een groot bedrijf deze systemen centraal beheren.”

Volgens Van der Waal is de timing van de aanval geen toeval. “Black Friday en de feestdagen zijn belangrijk voor retailers zoals MediaMarkt. Een verstoring van de bedrijfsprocessen kan in deze periode veel omzet kosten, nog los van de reputatieschade. Het zou me niet verbazen als de aanvallers juist dit moment hebben gekozen om hun onderhandelingspositie te versterken.”

Volgens de elektronicagigant zijn er bij de aanval geen klantgegevens gestolen. "Na uitgebreid onderzoek kunnen we zeggen dat er geen klantgegevens gestolen zijn", aldus woordvoerder Angela Meijer van Mediamarkt. De elektronicagigant wil verder niet reageren of er met de hackers is onderhandeld.

Momenteel is de Mediamarkt nog bezig om alles te onderzoeken. Omwille van de veiligheid maakt Mediamarkt eventuele vervolgstappen om dit in de toekomst te voorkomen niet bekend. Het allerbelangrijkste waren de klantgegevens en deze zijn veilig, aldus Mediamarkt.

Welke andere bedrijven zijn slachtoffer geworden van Hive?

Hive is nog niet zo lang actief, maar heeft toch al vele slachtoffers gemaakt. De groepering haalde in juni voor het eerst het nieuws met een aanval op het Canadese softwarebedrijf Altus Group. In augustus sloeg Hive toe bij een Amerikaanse ziekenhuisgroep. Door de ransomware moesten urgente medische behandelingen en onderzoeken uitgesteld worden.

Hive maakt gebruik van een website op het darknet om gestolen gegevens te publiceren. Daar staan inmiddels tientallen getroffen bedrijven uit verschillende sectoren. “Het gaat hier om gewetenloze criminelen”, benadrukt Van der Waal. “Ze hebben er bijvoorbeeld geen enkele moeite mee on zorginstanties en overheidsinstellingen aan te vallen. Ze pakken gewoon wat ze pakken kunnen.”


Factsheet: KPN Security Awareness Programma

Om medewerkers bewustzijn bij te brengen over securitybeleid, biedt KPN het Security Awareness Programma. Meer weten?

Download


Wat is de werkwijze van de Hive-groepering?

Hive is een voorbeeld van Ransomware-as-a-Service (RaaS). “Hierbij werkt de Hive-bende samen met tussenpartijen die de aanvallen voor hen uitvoeren”, legt Van der Waal uit. “Deze ‘affiliates’ mogen de ransomware gebruiken in ruil voor een deel van de opbrengst. Het RaaS-model is voor ontwikkelaar én affiliate zeer lucratief.”

De aanvallers komen binnen via gerichte phishingcampagnes. Daarmee installeren ze malware die de weg vrijmaakt voor de ransomware, bijvoorbeeld door de virusscanner uit te schakelen. Ook proberen ze toegang te krijgen tot het Remote Desktop Protocol (RDP), waarmee Windows-computers op afstand te bedienen zijn. Zo wordt de ransomware stapsgewijs verspreid over het netwerk.

Tijdens de aanval wordt een kopie gemaakt van gegijzelde data. Deze gegevens maken de cybercriminelen openbaar indien het losgeld niet wordt betaald. Ze laten een bestand achter met een unieke link om in te loggen op de website van Hive. Daar kunnen slachtoffers via een livechat in contact komen met de aanvallers en onderhandelen over het losgeldbedrag.

Welke securitymaatregelen kan ik treffen?

De snelle opmars van Hive duidt erop dat deze cybercriminelen bijzonder kundig en doelgericht zijn. “Zo’n groep kan overal binnendringen, als ze er maar genoeg tijd en energie insteken”, stelt Van der Waal. Toch zijn bedrijven zeker niet weerloos tegen Hive. “Het is vooral belangrijk om u goed voor te bereiden op het scenario dat u wordt aangevallen.”

De securityonderzoeker doelt daarmee niet alleen op het maken en testen van back-ups. “Speel een aanval na met alle mensen die verantwoordelijk zijn voor het netwerk, zoals de securityofficer en de systeembeheerder. Welke problemen levert zo’n aanval op? Hoe waarborgt u de continuïteit van de bedrijfsvoering? Hoe communiceert u met medewerkers, klanten en de pers? Wat gaat er tijdens de oefening fout en wat leert u daarvan?”

Daarnaast zou elke organisatie zijn personeel moeten trainen in gevaarherkenning, vindt Van der Waal. “Een ransomware-aanval begint meestal bij een phishingmail. Helaas bieden lang niet alle bedrijven security-awarenesstrainingen aan. Dat terwijl het een relatief kleine investering is die niet opweegt tegen de impact van een besmetting.”

Van der Waal roept alle Nederlandse organisaties op tot extra alertheid. “Dit is zeker niet het laatste wat we van Hive hebben gehoord”, waarschuwt hij.

Moet ik het losgeld betalen?

Net als de Nederlandse politie adviseert KPN Security om geen losgeld te betalen aan cybercriminelen zoals de Hive-bende. “Organisaties die dit wel doen, houden het verdienmodel in stand”, aldus Van der Waal. “Het losgeld wordt dan gebruikt om vervolgaanvallen te financieren. Zo wordt het probleem alleen maar groter. Bovendien is er geen enkele garantie dat u weer toegang krijgt tot de gegijzelde data.”

Volgens de securityonderzoeker zijn er wel scenario’s denkbaar waarin het losgeld toch betaald wordt. “Als een ziekenhuis wordt platgelegd door een ransomware-aanval, kan dat mensenlevens kosten. En soms worden er privacygevoelige gegevens gestolen die absoluut niet mogen uitlekken. Dan is het natuurlijk een moeilijk dilemma.”

Hét cybersecurityevent van Nederland is terug. Op 25, 26 én 27 januari 2022 brengt NLSecure[ID] organisaties en cybersecurityexperts samen. Schrijf je nu gratis in.

Gerelateerde artikelen