Ransomware Hive
Es un grupo de ransomware detectado por primera vez en 2021. Este ransomware fue creado para que ciberdelincuentes novatos ataquen a empresas o proveedores minoristas de todo el mundo. Utiliza técnicas de doble extorsión contra sus víctimas, en la cual los ciberdelincuentes roban información confidencial y amenazan con publicarlos a menos que se pague un rescate.
En 2023, el FBI desmanteló el sitio web del ransomware tras una operación encubierta de siete meses se identificaron 1,500 víctimas del ransomware y más de 100 millones de dólares en pagos de rescates. Además, el FBI proporcionó claves de descifrado a más de 300 víctimas,, evitando aproximadamente 130 millones de dólares en pagos de rescate. También distribuyó 1,000 claves de descifrado adicionales a las víctimas anteriores de Hive.
¿Como ataca?
El ransomware tiene 3 formas de ataque. La primera es accediendo a la red y propagándose lateralmente, robando archivos sin cifrar. Posteriormente, se despliega el ransomware para cifrar todos los dispositivos y obtener acceso de administrador de dominio. Una vez con estos accesos, elimina las copias de seguridad, con el objetivo de evitar que las víctimas puedan recuperar su información y obligarlas a pagar el rescate.La segunda técnica de ataque es mediante vulnerabilidades de Microsoft Exchange, mientras que la tercera se lleva a cabo mediante phishing. En esta última, los atacantes obtienen acceso a la red distribuyendo correos electrónicos falsos que contienen archivos adjuntos maliciosos.
Este ransomware, después de atacar y robar información, se pone en contacto con las víctimas a través de un chat en vivo para negociar el rescate de la información. Casi siempre, antes de decidir el monto, los atacantes investigan a sus víctimas y, por lo general, solicitan el 1% de los ingresos anuales de la empresa.
La comunicación con los atacantes suele ser breve y concisa. Durante esta, ellos mencionan el monto del rescate y ofrecen reducciones sustanciales en varias ocasiones a lo largo de la negociación con las víctimas.
Indicadores de Compromiso:
| IOC | Tipo |
| 01c846bfc37b10ea43474e1781e0af52 | MD5 |
| 185c168888fac9705c00b606235abc83c | MD5 |
| 2f9fc82898d718f2abe99c4a6fa79e69 | MD5 |
| 504bd1695de326bc533fde29b8a69319 | MD5 |
| 5aa5546c3bffa188f1d9de7fdab67c22 | MD5 |
| 7A731229659EC9175CFAF1358D0367F2 | MD5 |
| 9e609932c59d043565c5d3e5260f571b | MD5 |
| c3aceb1e2eb3a6a3ec54e32ee620721e | MD5 |
| eb37bb967c8911ba8a3ad58e6a4a9578 | MD5 |
| f49a50f9867fa2be206aef078d2240f3 | MD5 |
| b5045d802394f4560280a7404af69263 | MD5 |
| 04FB3AE7F05C8BC333125972BA907398 | MD5 |
Recomendaciones
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Murphy, D. (2022, Julio 27). What is Hive Ransomware? Lepide Blog: A Guide To IT Security, Compliance And IT Operations. Recuperado el 12 de noviembre del 2024 en: https://www.lepide.com/blog/what-is-hive-ransomware/
- Antal, G. (2023, Enero 27). FBI Closes Down Hive Ransomware Gang: What Does This Mean for the Security Landscape? Heimdal Security Blog. Recuperado el 12 de noviembre del 2024 en: https://heimdalsecurity.com/blog/fbi-closes-down-hives-ransomware-gang/
- Team, S., & Team, S. (2023, Febrero 17). All about Hive ransomware - Securin. Securin -. Recuperado el 12 de noviembre del 2024 en: https://www.securin.io/articles/all-about-hive-ransomware/
- Zugec, M. (2023, Noviembre 09). Hive Ransomware’s Offspring: Hunters International Takes the Stage. Bitdefender Blog. Recuperado el 12 de noviembre del 2024 en: https://www.bitdefender.com/en-gb/blog/businessinsights/hive-ransomwares-offspring-hunters-international-takes-the-stage/
