El ransomware Hive ha ganado 100 millones de dólares hasta la fecha

El FBI, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) y el Departamento de Salud y Servicios Humanos (HHS) publicaron el aviso conjunto.

Los beneficios estimados generados por la variante de ransomware como servicio (RaaS) se producen en un periodo de unos 15 meses, desde que se descubrió por primera vez en junio de 2021.

Las organizaciones víctimas provienen de una gran variedad de sectores, como el gubernamental, el de las comunicaciones, el de la fabricación crítica y el de las tecnologías de la información, aunque parece que el grupo se centra especialmente en la sanidad.

En el pasado, los afiliados al grupo obtuvieron acceso inicial a las redes de las víctimas a través de correos electrónicos de phishing que contenían archivos adjuntos con trampas que explotaban las vulnerabilidades de Microsoft Exchange Server.

También se han centrado en la infraestructura de escritorio remoto.

"Los actores de Hive han obtenido acceso inicial a las redes de las víctimas utilizando inicios de sesión de un solo factor a través del Protocolo de Escritorio Remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota", explica la alerta.

"En algunos casos, los actores de Hive han eludido la autenticación multifactor (MFA) y han obtenido acceso a los servidores de FortiOS aprovechando la vulnerabilidad CVE-2020-12812. Esta vulnerabilidad permite a un ciberactor malicioso iniciar la sesión sin que se solicite el segundo factor de autenticación del usuario (FortiToken) cuando el actor cambia el caso del nombre de usuario."

La actividad posterior a la intrusión incluye la terminación de los procesos de copia de seguridad y antivirus (AV), la eliminación de los servicios de copia en la sombra y la eliminación de los registros de eventos de Windows, incluidos los registros de Sistema, Seguridad y Aplicación.

El grupo también desactiva Windows Defender y otros programas AV comunes en el registro del sistema antes de exfiltrar y cifrar los datos.

La alerta advertía de que los actores de Hive son conocidos por reinfectar las redes de las víctimas si las organizaciones se restauran a partir de las copias de seguridad sin realizar el pago del rescate.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de IT Híbrida incluyen diferentes vías de actuación: la gestión de aplicaciones, la gestión de las operaciones de IT (ITSM), la modernización de aplicaciones y la ciberseguridad inteligente. Puedes obtener más información sobre cómo abortar estos retos e innovar haciendo clic en cada una de las líneas de acción o visitando el sitio web de Micro Focus en este enlace.