El ransomware Hive, también conocido como«Hive ransomware group«, fue una operación de ransomware como servicio ( RaaS ) dirigida por la organización cibercriminal del mismo nombre entre junio de 2021 y enero de 2023. Su principal objetivo era atacar principalmente a instituciones públicas y luego exigir un rescate a cambio de la liberación de los datos secuestrados.
Table des matières
ToggleAntecedentes históricos del ransomware Hive
Hive apareció por primera vez en junio de 2021. Dos meses después, ZDNet informó de que Hive había atacado al menos a 28 organizaciones sanitarias en Estados Unidos, incluidas clínicas y hospitales de Ohio y Virginia Occidental. En diciembre de 2021, los analistas de Group-IB Threat Intelligence determinaron que el grupo de ransomware Hive se comunicaba en ruso, aunque no había información sobre su ubicación operativa.
Modo operativo de Hive
Hive empleaba una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que creaba desafíos significativos para la defensa y la mitigación. Según el FBI, operaba como un ransomware basado en afiliación, utilizando varios mecanismos para comprometer las redes corporativas, incluyendo correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso, y Protocolo de Escritorio Remoto (RDP) una vez infiltrada una red.
Los ciberdelincuentes utilizan Hive para comprometer los dispositivos de las víctimas, filtrar datos confidenciales y cifrar archivos empresariales.
Pero lo que diferencia a Hive es su capacidad para evolucionar. Por ejemplo, tras el lanzamiento de un descifrador público, pueden haber adoptado Rust, en particular la versión 5, para crear nuevas versiones de su malware.
Principales incidentes e impacto del ransomware Hive
Hive ha tenido un impacto significativo en el panorama digital. Según el FBI, esta operación de ransomware ha extorsionado alrededor de 100 millones de dólares a más de 1.500 empresas desde junio de 2021. Además, el grupo es particularmente notorio por dirigirse a hospitales y escuelas. Uno de sus ataques notables fue contra un hospital del Medio Oeste en 2021, impidiéndole aceptar nuevos pacientes y obligándolo a operar completamente con registros en papel.
Investigación del FBI y acciones legales
En enero de 2023, tras una investigación conjunta entre Estados Unidos y Alemania en la que participaron 13 fuerzas de seguridad, Estados Unidos anunció que el FBI había estado «hackeando a los hackers» durante varios meses, lo que culminó con la incautación de los servidores del grupo de ransomware Hive, poniendo fin a la empresa criminal.
Protección y mitigación del ataque
En febrero de 2022, cuatro investigadores de la Universidad Kookmin de Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware Hive, lo que les permitió obtener la clave maestra y recuperar la información secuestrada. En noviembre de 2022, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) publicó un aviso de ciberseguridad en el que se detallaban los métodos de mitigación del ransomware Hive.
SOS Ransomware es un experto reconocido en ayudar a las organizaciones a hacer frente a incidentes de ransomware.
La ciberseguridad es más importante que nunca en la era digital actual. Los ataques de ransomware como Hive demuestran lo esencial que es proteger nuestros sistemas y datos. Si usted o su organización han sido víctimas de un ataque de ransomware, no dude en ponerse en contacto con el servicio de ransomware SOS, expertos en ayudar a las organizaciones a hacer frente a incidentes de ransomware.