Ransomware Hive ataca a 1,300 compañías | IT Masters Mag

Ransomware Hive ha atacado a más de 1,300 compañías en menos de dos años

Con esta alerta, las agencias estadunidenses FBI, CISA y HSS suman ya cinco ransomware diferentes de los que han advertido en 2022.

Publicado el 24 Nov 2022

Ejemplo de nota de rescate que deja el ransomware Hive en los equipos comprometidos. Crédito: CISA

El ransomware Hive, cuyas primeras apariciones datan de junio de 2021, ha atacado a más de 1,300 compañías a nivel mundial, según una alerta de ciberseguridad (CSA, por sus siglas en inglés) conjunta del FBI, la Agencia de Ciberseguridad Nacional (CISA) y el Departamento de Salud y Servicios Humanos estadunidenses.

Además, la organización que opera bajo el modelo RaaS; es decir, que recluta afiliados que se encargan de distribuir el código maliciosos a cambio de compartir un porcentaje de las ganancias, ha recaudado más de $100 millones de dólares por el pago de las víctimas para recuperar sus archivos y evitar la publicación de la información robada.

La alerta forma parte de la campaña de CISA #StopRansomware cuyo propósito es publicar avisos que detallan varias variantes de este tipo de ataques y actores maliciosos, con tácticas, técnicas y procedimientos observados reciente e históricamente así como indicadores de compromiso para ayudar a las organizaciones.

Con el CSA sobre Hive, las agencias estadunidenses suman ya cinco ransomware diferentes de los que han advertido en lo que va del año: MedusaLocker, Zeppelin, Vice Society y Daixin Team. Los últimos han sido reportados uno por mes.

Hive ha sido utilizado en ataques a compañías de diversos industrias y sectores de infraestructuras críticas, que incluye servicios administrados por el Gobierno, comunicaciones, manufactura, tecnologías de la información y en particular a entidades del sector de la salud pública.

Según la firma de ciberseguridad ESET, junto con el grupo de ransomware Conti participó en la ola de ataques a organismos gubernamentales de Costa Rica. También ha atacado organizaciones de Argentina y de Colombia a lo largo de 2022.

Así opera el ransomware Hive

Las agencias estadunidenses advirtieron que una vez que logra acceso a un equipo, ejecuta determinados procesos para evitar ser detectado y antes de comenzar con el cifrado de los archivos deshabilita Windows Defender y otras soluciones de seguridad instaladas desde el sistema de registro.

Ya cifrados los archivos, se crea una nota de rescate en el equipo, en la que advierten que para recuperar los archivos, la víctima deberá pagar para acceder a un descifrador. Para ello, el grupo proporciona como contacto una dirección de un sitio en la red onion.

Una vez que la víctima se contacta los cibercriminales indican el monto que deberán pagar para obtener el descifrador. Estos montos pueden ser desde varios cientos de miles de dólares hasta millones de dólares.

Hackers iraníes comprometen red de una agencia federal de EU

Usa varios métodos de intrusión

Según las agencias estadunidenses, el método de intrusión inicial varía según el afiliado y pueden ser mediante el uso de inicios de sesión de un solo factor, a través del Protocolo de escritorio remoto (RDP); redes privadas virtuales (VPN) y otros protocolos de conexión de red remota.

En algunos casos, evadieron la autenticación multifactor (MFA) y obtuvieron acceso a los servidores de FortiOS mediante la explotación de vulnerabilidades y exposiciones comunes (CVE) CVE-2020-12812.

Dicha vulnerabilidad permite que un cibercriminal inicie sesión sin solicitar el segundo factor de autenticación del usuario (FortiToken) cuando el actor cambia las mayúsculas y minúsculas del nombre de usuario.

La forma más común de lograr acceso a la red víctima es mediante ataques al servicio RDP y a servicios VPN. Además, mediante la explotación de la vulnerabilidad CVE-2020-12812 presente en FortiOS.

CISA y las demás agencias advirtieron que se ha observado que algunas organizaciones víctimas, que no han pagado el rescate y han restaurado sus sistemas por sus propios medios, después de un tiempo fueron infectadas nuevamente, ya sea por Hive o por otro ransomware.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil...

¡Síguenos en nuestras redes sociales!

Redacción IT Masters Mag
Redacción IT Masters Mag

Un equipo de profesionales del periodismo, la comunicación, las artes gráficas y los medios digitales.

email Contácteme

Artículos relacionados

Artículo 1 de 2