real time web analytics

Ladrones de ransomware Hive extorsionan $ 100 millones de 1,300 organizaciones globales • The Register

Los delincuentes del ransomware Hive han atacado a más de 1300 empresas en todo el mundo, extorsionando a sus víctimas con unos 100 millones de dólares en los últimos 18 meses, según el FBI.

Si bien Hive solo existe desde junio de 2021, el operador de ransomware como servicio ha sido extremadamente prolífico en su existencia relativamente corta y le ha gustado mucho la infraestructura crítica y los hospitales, donde los sistemas de TI bloqueados pueden ser literalmente una cuestión de vida y muerte.

En abril, la agencia de Salud y Servicios Humanos de EE. UU. (HHS) advirtió a las organizaciones de atención médica sobre Hive, que el HHS describió como una amenaza “excepcionalmente agresiva” para el sector de la salud.

La pandilla también se enfoca en instalaciones gubernamentales, comunicaciones, manufactura crítica y TI.

En un consejo conjunto [PDF] con CISA y HHS, el FBI detalló esta semana los indicadores de compromiso de Hive y las técnicas y procedimientos de uso común que los federales han observado tan recientemente como este mes.

Si bien la intrusión inicial dependerá de qué afiliado de Hive esté llevando a cabo el ataque, los delincuentes han irrumpido en las redes utilizando inicios de sesión RDP de un solo factor robados, redes privadas virtuales y otros protocolos de conexión de red remota, según las agencias.

Sin embargo, los malhechores también eludieron la autenticación multifactor y entraron en los servidores de FortiOS al explotar CVE-2020-12812, un error crítico de omisión de autenticación que Fortinet solucionó hace más de dos años.

Y a veces, se nos dice, usan correos electrónicos de phishing probados y verdaderos con archivos adjuntos maliciosos y luego explotan cualquier cantidad de vulnerabilidades del servidor de Microsoft Exchange.

Una vez que han entrado, los ladrones tienen varios métodos que usan para evadir la detección. Esto incluye identificar procesos relacionados con copias de seguridad y herramientas antivirus, copiar esos archivos y luego finalizar los procesos. También se sabe que eliminan los registros de eventos de Windows y deshabilitan Windows Defender.

Los afiliados de Hive “probablemente” filtran datos con una combinación de Rclone, un programa de código abierto utilizado para mover datos al almacenamiento en la nube, y el servicio de almacenamiento en la nube Mega.nz, según el FBI. Y no se dirigen exclusivamente a los sistemas de Windows: los desarrolladores de Hive también han creado variantes de ransomware para Linux, VMware ESXi y FreeBSD.

Después de obtener el acceso inicial, eludir las funciones de seguridad y robar información confidencial, los delincuentes pasan al cifrado. Para esto, crean un archivo llamado *.key (nota de los federales: anteriormente era *.key.*). El archivo clave, que se requiere para el descifrado, se crea en la raíz directamente y solo en la máquina donde se creó.

Luego colocan una nota de rescate, “HOW_TO_DECRYPT.txt”, en cada directorio comprometido con un enlace a un “departamento de ventas” accesible a través de un navegador TOR para chatear con un ladrón útil para discutir el pago y una fecha límite para pagar.

La pandilla también amenaza con publicar los datos robados en su sitio HiveLeaks si la organización no paga el rescate. “Se sabe que los actores de Hive reinfectan, ya sea con Hive ransomware u otra variante de ransomware, las redes de organizaciones víctimas que han restaurado su red sin pagar un rescate”, advirtió el FBI.

También vale la pena señalar que pagar un rescate no es una garantía de que Hive u otro operador de ransomware no atacará a una organización por segunda o tercera vez.

Caso en cuestión: en mayo, una empresa no identificada fue atacada por el ransomware Lockbit, según los investigadores de amenazas de Sophos. Menos de dos horas después, un afiliado de Hive ransomware atacó a la misma empresa y dos semanas después, la organización fue atacada por tercera vez por un grupo de ransomware BlackCat.

En otras palabras: realmente no hay honor entre los ladrones. ®

Leave a Comment