Hive Ransomware
La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una alerta en conjunto para difundir detalles técnicos de Hive Ransomware identificados a través de investigaciones del FBI en noviembre de 2022.
Hasta noviembre de 2022, los actores del ransomware Hive han atacado a más de 1300 empresas en todo el mundo y han recibido aproximadamente 100 millones de dólares en pagos de rescate, según información del FBI. Hive sigue el modelo de ransomware-as-a-service (RaaS) en el que los desarrolladores crean, mantienen y actualizan el malware, y los afiliados realizan los ataques de ransomware. Desde junio de 2021 hasta al menos noviembre de 2022, los actores de amenazas han utilizado el ransomware Hive para apuntar a una amplia gama de empresas y sectores de infraestructura crítica, incluidas las instalaciones gubernamentales, las comunicaciones, la fabricación crítica, la tecnología de la información y, especialmente, la atención médica y la salud pública.
El método de intrusión inicial dependerá de qué afiliado apunte a la red. Los actores de Hive obtuvieron acceso inicial a las redes de las víctimas mediante el uso de inicios de sesión de un solo factor a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota. En algunos casos, los atacantes omitieron la autenticación multifactor (MFA) y obtuvieron acceso a los servidores de FortiOS mediante la explotación de vulnerabilidades y exposiciones comunes. La vulnerabilidad permite que un atacante malintencionado inicie sesión sin solicitar el segundo factor de autenticación del usuario (FortiToken) cuando el actor cambia las mayúsculas y minúsculas del nombre de usuario.
Los actores de Hive también obtuvieron acceso inicial a las redes de las víctimas al distribuir correos electrónicos de phishing con archivos adjuntos maliciosos y al explotar vulnerabilidades contra los servidores de Microsoft Exchange.
La nota de rescate, HOW_TO_DECRYPT.txt se coloca en cada directorio afectado y establece que el archivo requerido para descifrado no se puede modificar, renombrar ni eliminar; de lo contrario, los archivos cifrados no se pueden recuperar. La nota de rescate contiene un enlace .onion "departamento de ventas" accesible a través de un navegador TOR, que permite a las organizaciones atacadas contactar a los actores a través de un panel de chat en vivo para discutir el pago de sus archivos. Sin embargo, algunas víctimas informaron haber recibido llamadas telefónicas o correos electrónicos de actores de Hive directamente para hablar sobre el pago en Bitcoin.
La nota de rescate también amenaza a las víctimas de que un sitio accesible de divulgación pública o leaks en el sitio TOR, "HiveLeaks", contiene datos extraídos de organizaciones atacadas que no pagan la demanda de rescate. Además, los actores de Hive han utilizado sitios de intercambio de archivos anónimos para divulgar datos extraídos.
Se sabe que los actores de Hive reinfectan, ya sea con Hive ransomware u otra variante de ransomware, las redes de las organizaciones víctimas que han restaurado su red sin pagar un rescate.
Sugerimos tomar estas acciones para defenderse proactivamente contra este tipo de ataques:
- Priorizar la reparación de las vulnerabilidades explotadas conocidas .
- Habilitar y aplicar la autenticación multifactor con contraseñas seguras
- Cerrar los puertos no utilizados y eliminar cualquier aplicación que no se considere necesaria para las operaciones diarias.
Para más información sobre acciones de mitigación y prevención, contacte con nuestros expertos.
Fuente: https://www.cisa.gov/uscert/ncas/alerts/aa22-321a
Imagen: https://visualhunt.com/f7/photo/33433851596/b37134315b/
