Hive-Ransomware

Daten retten und entschlüsseln

Die Hive-Ransomware feiert bald ihren ersten Geburtstag und hat in den vergangenen Monaten viele Opfer gefunden. Viele Unternehmen fragen sich daher, was sie gegen einen Hive-Angriff tun können.

Wir verraten, wie der Hive-Erpressertrojaner funktioniert und warum zumindest ein kleines Licht am Ende des Tunnels scheint.

Erpressertrojaner Hive: Verbreitung und Funktionsweise
Die Hive-Ransomware kann sich ganz klassisch über gehackte Webseiten oder Phishing-E-Mails verteilen. Einmal installiert, verschafft sie sich gleich Zugriff auf das gesamte Netzwerk und verschlüsselt dabei sämtliche Daten. Anschließend erfolgt die offizielle Lösegeld-Forderung. So weit, so bekannt. Allerdings steckt noch mehr Boshaftigkeit hinter Hive: Das Ransomware-as-a-Service-Prinzip.

Das bedeutet, dass die Cyberkriminellen hinter der Schadsoftware selbige im Darknet anderen Hackern zum Kauf anbieten. Und nicht nur das: Mittels eines integrierten Dashboards lässt sich die Verteilung von Hive verwalten und der Erpressertrojaner nach Belieben in seiner Funktionsweise und Angriffsmethode anpassen. Die Hive-Entwickler kassieren nach einem erfolgreichen Angriff eine zusätzliche Provision von ihren „Kunden“.

Aber selbst damit ist es nicht genug: Viele Hive-Käufer fahren zweigleisig. Zum einen sichern sie sich eine hohe Beute durch die gezahlten Lösegelder, zum anderen bieten sie die ergaunerten Daten auch im Darknet zum Verkauf an oder veröffentlichen sie gleich auf so genannten Daten-Leak-Webseiten. Für betroffene Unternehmen und Institutionen entsteht also zusätzlich ein hoher Image-Schaden.

Angriffe mit Hive-Ransomware steigen
Seit Juli 2021 steigt die Anzahl der Hive-Angriffe massiv an. Bekanntestes Opfer des Erpressertrojaners ist die Media-Markt-Saturn-Gruppe bzw. deren Holding Ceconomy. Durch die Tatsache, dass Hive auf dem digitalen Schwarzmarkt von so ziemlich jedem Hacker käuflich erworben werden kann, ist die Gesamt-Opfer-Liste bunt gemischt. Ob Krankenhaus, öffentliche Behörde oder mittelständisches Unternehmen: Sicher ist keiner.

Aber es gibt Hoffnung. Wie Anfang des Jahres bekannt wurde, haben es Sicherheitsexperten geschafft, den Hauptschlüssel der Ransomware zu knacken. Verantwortlich dafür war eine Schwachstelle im Verschlüsselungsalgorithmus selbst. Die „weißen Hacker“ wandten daher eine Brute-Force-Attacke an und kamen so schließlich an den Master-Key der Ransomware.

Für Unternehmen, die zu den Opfern der Hive-Ransomware zählen, sind das gute Nachrichten. Mit einer Wahrscheinlichkeit von über 90 Prozent lassen sich die verschlüsselten Daten wiederherstellen und die Hive-Ransomware entfernen. Einziger Wermutstropfen: Ein Daten-Leak lässt sich leider nicht verhindern, da die Datenübertragung an die Hacker direkt nach Installation des Trojaners erfolgt.

Ist der Hive-Erpressertrojaner am Ende?
Mit sehr hoher Wahrscheinlichkeit nicht. Es ist davon auszugehen, dass die Entwickler des Verschlüsselungstrojaners mit Hochdruck daran arbeiten, ihre eigene Sicherheitslücke zu schließen. Und auch die Vergangenheit hat gezeigt, dass „erfolgreiche Ransomware“ im Laufe der Zeit in immer weiter entwickelten Versionen auftaucht. Schon jetzt ist bekannt, dass es mittlerweile sogar eine separate Hive-Version für Linux Systeme gibt. Wann und in welcher Form uns alle also eine „Hive 2.0“-Kampagne erwartet, ist vermutlich nur eine Frage der Zeit.

Aber auch einmal ganz unabhängig von dem aktuell erfolgreichsten „Modell“ auf dem Erpressertrojaner-Markt: Ransomware ist und bleibt die größte Bedrohung der IT-Sicherheit von Unternehmen. Zu einer entsprechende Sicherheitsstrategie gibt es daher keine Alternative.

Daten retten? Mit Ransomware-Prävention nicht nötig!
Damit das Kind erst gar nicht in den Brunnen fällt, können Unternehmen aktiv vorsorgen. Mit entsprechenden Sicherheitsmaßnahmen lassen sich Ransomware-Angriffe im besten Fall vollständig verhindern. Durch Firewalls und eine professionelle Anti-Virus-Software mit Frühwarn-System sorgen IT-Dienstleister wie unsere Experten aus dem IT-SERVICE.NETWORK dafür, dass es erst gar nicht zum Notfall kommt.

Unser Tipp: Auch eine entsprechende Security-Awareness-Schulung für Ihre Mitarbeiter ist mehr als sinnvoll. Denn die meisten Trojaner sind komplett darauf angewiesen, dass ein unbedarfter Mensch etwas herunterlädt oder klickt.

Kombiniert mit einer durchdachten Backup-Strategie ist auch die Sorge vor einem Datenverlust unbegründet. Dank moderner, automatisierter Systeme lassen sich die extern gesicherten Daten bei Bedarf schnell und zuverlässig wieder aufspielen.

Sie möchten mehr erfahren? Dann nehmen Sie gern direkt Kontakt zu UNS auf