Hive-Ransomware

Die Hive Ransomware ist ein neuer Player in der Ransomware-Bandenlandschaft. Dieser Bedrohungsakteur tauchte auf, nachdem er das interne Netzwerk der Altus Group, einem Unternehmen für kommerzielle Immobiliensoftwarelösungen, erfolgreich durchbrochen hatte. Die Hacker konnten die Unternehmensinformationen sammeln und Verschlüsselungsroutinen auf kompromittierten Systemen einleiten.

Altus berichtete in einer am 14. Juni 2021 veröffentlichten Pressemitteilung über den Vorfall. Anfangs enthielt das Unternehmen keine Informationen über den Datendiebstahl und erwähnte in späteren Updates, dass es „keine Hinweise auf Auswirkungen“ gefunden habe. Wie sich herausstellte, war dies leider nicht der Fall. Die Hive Ransomware-Gruppe hat eine dedizierte Leak-Website namens HiveLeaks erstellt und im Darknet gehostet. Die Site umfasste eine einzelne durchbrochene Einheit – die Altus Group.

Die Hive-Ransomware lieferte eine Stichprobe der Dateien, die sie exfiltriert und die Daten als verschlüsselt beschrieben haben, was die ersten Anzeichen dafür liefert, dass der Verstoß finanziell motiviert war und eine Ransomware-Nutzlast verwendet. Das auf der Website des Bedrohungsakteurs veröffentlichte Archiv war passwortgeschützt, aber die darin enthaltenen Namen und Dateien konnten leicht eingesehen werden. Die gesammelten Informationen enthalten Geschäftsdaten, Argus-Zertifikate, sensible Dokumente und mehrere Entwicklungsdateien.

Nur wenige Tage nach dem Erscheinen der HiveLeaks-Seite veröffentlichte Atlus ein neues Update, das die Ransomware-Natur des Verstoßes anerkennt. Das Unternehmen gab außerdem bekannt, dass es nach Rücksprache mit Cybersicherheitsspezialisten und -experten beschlossen habe, mit den Bedrohungsakteuren zusammenzuarbeiten. In der Praxis bedeutet dies höchstwahrscheinlich, dass den Hackern ein nicht bekannter Betrag als Lösegeld gezahlt wurde.