El grupo Hive es un grupo de ataques de ransomware que se dirige a empresas y organizaciones, cifrando sus datos y exigiendo un pago de rescate a cambio de la clave de descifrado.
El grupo solía obtener acceso inicial a una red a través de estafas de phishing, explotando vulnerabilidades en software o hardware, o comprando credenciales robadas en la web oscura.
|
En cambio, las organizaciones deben enfocarse en implementar medidas sólidas de ciberseguridad para prevenir tales ataques y tener un plan confiable de copia de seguridad de datos en caso de un ataque exitoso.
Desde junio de 2021, el grupo de ransomware Hive ha dirigido su atención a más de 1.500 víctimas en todo el mundo y ha recibido más de $100 millones en pagos de rescate.
Los ataques de ransomware Hive han causado grandes interrupciones en las operaciones diarias de las víctimas en todo el mundo y han afectado las respuestas a la pandemia de COVID-19.
En un caso, un hospital atacado por Hive ransomware tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y no pudo aceptar nuevos pacientes inmediatamente después del ataque.
Hive utilizó un modelo de ransomware como servicio (RaaS), con administradores, a veces llamados desarrolladores, y afiliados.
RaaS es un modelo basado en suscripción donde los desarrolladores o administradores crean una cepa de ransomware y crean una interfaz fácil de usar con la que operarlo y luego reclutan a afiliados para implementar el ransomware contra las víctimas.
Los afiliados identifican objetivos y implementan este software malicioso listo para atacar a las víctimas y luego ganan un porcentaje de cada pago de rescate exitoso.
Los actores de Hive emplearon un modelo de doble extorsión en el ataque. Antes de cifrar el sistema de la víctima, el afiliado exfiltraba o robaba los datos sensibles.
Luego, el afiliado buscaba un rescate tanto por la clave de descifrado necesaria para descifrar el sistema de la víctima como por la promesa de no publicar los datos robados.
Los actores de Hive frecuentemente se centraron en los datos más sensibles en el sistema de la víctima para aumentar la presión para pagar.
Después de que una víctima paga, los afiliados y los administradores dividen el rescate 80/20. Hive publicó los datos de las víctimas que no pagan en el sitio Hive Leak Site.
Según la Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA), los afiliados de Hive han ganado acceso inicial a los sistemas de las víctimas mediante técnicas de phishing y malware.
“La frecuencia de los ataques de ransomware ha aumentado, mientras que, según los informes, los pagos de las víctimas han disminuido.
Esta es una gran tendencia, y este esfuerzo coordinado es lo que necesitamos ver más por parte de las fuerzas del orden público de todo el mundo.
Parte de este esfuerzo por permitir que la actividad progrese puede parecer algo controvertido, pero generar claves de descifrado para las víctimas a lo largo del tiempo ayuda a agotar los recursos del grupo.
“Sí, con toda probabilidad, otro grupo llenará el vacío. Toma tiempo y esfuerzo, pero los incentivos son de cientos de millones de dólares.
Es algo sorprendente que el grupo albergara sus recursos de servidor en Los Ángeles. Aparentemente pensaron que todo estaba protegido y oculto por la red Tor.
Las fuerzas del orden exhibieron algunas capacidades impresionantes para infiltrarse, apoderarse e interrumpir algunos de los recursos de la pandilla.
Los actores detrás de este grupo han mostrado un desprecio imprudente por la vida humana en sus esfuerzos por victimizar escuelas y hospitales.
Instamos a las personas a que nunca paguen ningún rescate si son atacadas y que consulten nomoreransom.org para ver si hay una clave de cifrado disponible para desbloquear sus datos”.
Aseguró Kurt Baumgartner, analista principal en el Equipo Global de Investigación y Análisis en Kaspersky.
El FBI a la caza de los cibercriminales
El Departamento de Justicia de EE. UU. desactiva variante de Hive Ransomware
El FBI se infiltró clandestinamente en la red Hive, frustrando más de $ 130 millones en demandas de rescate
El Departamento de Justicia anunció hoy su campaña de desactivación de meses contra el grupo de ransomware Hive que ha apuntado a más de 1.500 víctimas en más de 80 países de todo el mundo, incluidas hospitales, distritos escolares, firmas financieras y infraestructuras críticas.
Desde fines de julio de 2022, el FBI ha penetrado las redes informáticas de Hive, capturado sus claves de descifrado y las ofreció a las víctimas en todo el mundo, evitando que las víctimas tuvieran que pagar los $ 130 millones en rescate exigidos.
Desde que se infiltró en la red de Hive en julio de 2022, el FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que estaban bajo ataque.
Además, el FBI distribuyó más de 1.000 claves de descifrado adicionales a víctimas anteriores de Hive.
Finalmente, el departamento anunció hoy que, en coordinación con la policía alemana (la Policía Criminal Federal alemana y la Sede de Policía Reutlingen-CID Esslingen) y la Unidad Nacional de Delitos Tecnológicos de los Países Bajos.
Han tomado el control de los servidores y sitios web que Hive utiliza para comunicarse con sus miembros, interrumpiendo la capacidad de Hive para atacar y extorsionar a las víctimas.
“La noche del pasado 25 de Enero, el Departamento de Justicia desmanteló una red internacional de ransomware responsable de extorsionar y intentar extorsionar a cientos de millones de dólares a víctimas en los Estados Unidos y en todo el mundo”, dijo el Fiscal General Merrick B. Garland.
 | Información de valor para ejecutivos que toman decisiones de negocios |
“El cibercrimen es una amenaza en constante evolución.
Pero como he dicho antes, el Departamento de Justicia no ahorrará recursos para identificar y llevar ante la justicia, a cualquier persona, en cualquier lugar, que apunte a los Estados Unidos con un ataque de ransomware.
Continuaremos trabajando tanto para prevenir estos ataques como para brindar apoyo a las víctimas que han sido objetivo. Y junto con nuestros socios internacionales, seguiremos desactivando las redes criminales que despliegan estos ataques”.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
8220 Gang: arranca el año del Conejo de Agua Cibercriminal
Telegram: ¿De verdad crees que es seguro en 2023?
Cloud & Threat Report de Netskope 2022
Hi-Tech Crime Trends 2022/2023
Netskope: «la» plataforma de redes y seguridad de SASE 2023