FBI advierte sobre una nueva variante de ransomware que compromete redes corporativas: HIVE o HIVELeaks.

El FBI ha emitido una advertencia a las empresas sobre una nueva variante de ransomware basada en afiliados cada vez más prolífica conocida como Hive. El objetivo de los atacantes es comprometer las redes corporativas, lo que dificulta la mitigación de los riesgos e impactos.

Estos ataques incluyen correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso inicial y el secuestro del Protocolo de escritorio remoto (RDP).

¿Cómo funciona?

El ransomware Hive busca y finaliza los procesos vinculados a las copias de seguridad, antivirus y copia de archivos para aumentar sus posibilidades de éxito. Una vez deshabilitados los servicios anteriores, el ransomware comenzará con el proceso de cifrado de archivos. Posteriormente instala un script hive.bat en el directorio, lo que impone un retraso de tiempo de espera de ejecución de un segundo para realizar la limpieza una vez finalizado el cifrado, al eliminar el ejecutable de Hive y el script hive.bat. El malware coloca un segundo archivo, shadow.bat, en el directorio para eliminar las instantáneas, incluidas las copias de seguridad del disco o las instantáneas, sin notificar a la víctima y luego se elimina el archivo shadow.bat. El proceso anterior se repetirá hasta finalizar el cifrado de ficheros en todo el equipo.

Durante el proceso de cifrado, en cada directorio afectado, el ransomware dejará un archivo de texto (MyEY_HOW_TO_DECRYPT.txt) con las instrucciones correspondientes para la recuperación de los mismos. Los cibercriminales advierten en las notas de rescate que si los archivos cifrados se modifican, se les cambia el nombre o se eliminan, no se pueden recuperar. En dichas instrucciones se indica la URL dentro del direccionamiento .onion donde se filtrará la información si no se efectúa el pago del software de descifrado.

PORTAL HIVE
PORTAL HIVE

Algunas víctimas le dijeron al FBI que habían recibido llamadas telefónicas de seguimiento de los atacantes pidiendo el pago. Una segunda táctica es exfiltrar y publicar archivos robados en un sitio público de filtraciones.

Respuesta y Mitigación

Para contener la amenaza y el impacto del ransomware es relevante trabajar de forma paralela en el aislado de redes/VLAN que conforman la entidad afectada con el objetivo de contener los segmentos de red con equipos infectados y evitar su expansión. Dado que la variante analizada no adquiere persistencia, los equipos afectados con Hive no requieren de una rutina de desinfección más allá de reiniciar el sistema o finalizar el proceso vinculado con el ransomware.

Fuente: https://www.ccn-cert.cni.es/seguridad-al-dia/novedades-ccn-cert/11438-analisis-del-ransomware-hive-o-hiveleaks.html