Hive, observado por primera vez en junio de 2021, es una variante de ransomware basada en afiliados que utilizan los ciberdelincuentes para realizar ataques de ransomware contra instalaciones de atención médica, organizaciones sin fines de lucro, minoristas, proveedores de energía y otros sectores en todo el mundo. Hive está diseñado para su distribución en un modelo de ransomware como servicio que permite a los afiliados utilizarlo como lo deseen.

La variante utiliza tácticas, técnicas y procedimientos (TTP) comunes de ransomware para comprometer los dispositivos de las víctimas. Mientras realiza acciones en vivo, el operador desactiva las protecciones antimalware y luego extrae datos confidenciales y cifra los archivos comerciales. 

Sus afiliados usan múltiples mecanismos para comprometer las redes de sus víctimas, incluidos correos electrónicos de phishing con archivos adjuntos maliciosos, credenciales de VPN filtradas y la explotación de vulnerabilidades en activos externos. Además, Hive coloca una nota de rescate de texto sin formato que amenaza con publicar los datos de la víctima en el sitio web TOR ‘HiveLeaks’ a menos que la víctima cumpla con las condiciones del atacante.

Autorización de Hive

El 15 de agosto de 2021, los ataques de ransomware de Hive contra un sistema de salud integrado sin fines de lucro interrumpieron gravemente las operaciones clínicas y financieras de tres hospitales en Ohio y Virginia Occidental. El ataque resultó en desvíos de la sala de emergencias y la cancelación de casos quirúrgicos urgentes y exámenes de radiología . El cifrado de los archivos obligó al personal del hospital a utilizar fichas en papel. Además de los tres hospitales, la organización sin fines de lucro afectada también administra varios sitios de servicios ambulatorios y clínicas con una fuerza laboral combinada de 3,000 empleados.

Los operadores de Hive utilizaron técnicas de doble extorsión en este ataque. Aparte del cifrado de datos, también robaron información de pacientes que amenazaron con publicar en HiveLeaks, su sitio dedicado a filtraciones, donde comparten la lista de víctimas que no han pagado el rescate en su sitio Tor.

El incidente hizo que el FBI emitiera una alerta a fines de agosto de 2021 que detallaba los indicadores de compromiso (IOC) y las tácticas, técnicas y procedimientos (TTP) del ransomware Hive. Según la alerta, los operadores de Hive usan correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso inicial al sistema y al Protocolo de escritorio remoto (RDP) para moverse lateralmente una vez en la red.

 A fines de octubre de 2021, los investigadores descubrieron que Hive tiene nuevas herramientas de malware desarrolladas específicamente para cifrar sistemas Linux y FreeBSD. El informe señala que Hive se encuentra entre otros operadores de ransomware que han puesto su mirada en los servidores Linux. También se sabe que otros grupos de ransomware notorios crean sus propios encriptadores de Linux.

A medida que las empresas migran lentamente a las máquinas virtuales para lograr una mejor administración de dispositivos y optimizar el uso de los recursos, apuntar a las máquinas virtuales también tiene sentido comercial para los operadores de RaaS porque les permite cifrar varios servidores simultáneamente con un solo comando. Los investigadores señalaron que la herramienta a medida de Hive para Linux aún no es completamente funcional, ya que aún no puede cifrar por completo todos los archivos cuando el malware se implementó en una ruta explícita. Sin embargo, se puede esperar que Hive siga perfeccionando sus codificadores de Linux para diversificar y fortalecer su conjunto de herramientas de malware.

En enero de 2022, uno de los concesionarios de automóviles más grandes de Europa, Emil Frey, sufrió un ataque de ransomware Hive. El nombre de la empresa suiza apareció como una de las víctimas en HiveLeaks en febrero. Dirigirse a empresas de alto valor se ha convertido en una tendencia para los operadores de ransomware, como se puede deducir del perfil de la víctima que, según se informa, generó US $ 3290 millones en ingresos para 2020.

El análisis a un ataque de Hive identificó seis etapas con las que identificó un objetivo y encriptó un entorno en menos de 72 horas desde el compromiso inicial:

Etapa 1: ProxyShell y WebShell: el atacante explotó múltiples vulnerabilidades de seguridad de Exchange, denominadas ProxyShell. Luego, el ataque colocó una secuencia de comandos de puerta trasera maliciosa, denominada webshell, en un directorio de acceso público en el servidor de Exchange. Estos scripts web podrían ejecutar código PowerShell malicioso en el servidor comprometido con privilegios de SISTEMA.

Etapa 2: Golpe de Cobalt: El código malicioso de PowerShell descargó etapas adicionales de un servidor remoto C2 (Command & Control) asociado con el marco Cobalt Strike. Los escenarios no se escribieron en el sistema de archivos sino que se ejecutaron en la memoria.

Etapa 3: Pass-The-Hash: Aprovechando los permisos del SISTEMA, el actor de amenazas creó un nuevo usuario administrador del sistema llamado “usuario” y avanzó a la etapa de volcado de credenciales, invocando a Mimikatz . Al robar el hash NTLM del administrador del dominio y sin necesidad de descifrar la contraseña, el operador logró reutilizarlo a través del ataque Pass-The-Hash y tomar el control de la cuenta del administrador del dominio.

Etapa 4: Análisis de información confidencial: El actor de amenazas realizó amplias actividades de descubrimiento en toda la red. Además de buscar archivos que contengan “contraseña” en sus nombres, las actividades observadas incluyeron la eliminación de escáneres de red y la recopilación de direcciones IP y nombres de dispositivos de las redes, seguidas de RDP en los servidores de respaldo y otros activos críticos.

Etapa 5: implementación de ransomware: Finalmente, se entregó y ejecutó en varios dispositivos una carga útil de malware personalizada llamada Windows.exe, lo que condujo a un cifrado amplio y la denegación de acceso a los archivos dentro de la organización. La carga útil creó una nota de demanda de ransomware de texto sin formato durante la fase de cifrado.

Los operadores de Hive violan los sistemas a través de correos electrónicos de phishing con archivos adjuntos maliciosos. También se encontró a Microsoft Exchange como un posible punto de entrada para el ransomware Hive según nuestra detección de los mismos scripts posteriores a la explotación que se pueden encontrar en la técnica utilizada para explotar las vulnerabilidades relacionadas con ProxyShell. Estas vulnerabilidades se identificaron como CVE-2021-31207 ,   CVE-2021-34473 y CVE-2021-34523 .

Los operadores de Hive intentan ejecutar la técnica de persistencia para una baliza Cobalt Strike que se puede usar como un método de C&C para lograr el movimiento lateral una vez que se entrometen en el sistema. Inmediatamente después del intento, los operadores de Hive comienzan a descargar o desinstalar productos antivirus (AV) en el sistema para que puedan proceder a la descarga y ejecución de herramientas de piratería como TrojanSpy.DATASPY . Usan estas herramientas para descargar otros productos AV como una táctica para evadir la detección. 

Utilizan PCHunter y GMER como herramientas para descubrir y finalizar servicios o procesos para deshabilitar el software antivirus. TrojanSpy.DATASPY para recopilar información en el sistema, como máquinas en la red y la presencia de productos antivirus específicos. 

Hive usa RDP y WMI para moverse lateralmente en la red comprometida y entregar la carga útil de forma remota. También detectamos el uso de un comando BITSAdmin para el movimiento lateral. Los actores de amenazas también usaron PsExec para moverse lateralmente dentro de la red.

Los operadores de Hive usan la herramienta 7-Zip para archivar datos robados para exfiltración. Además, abusan de los servicios de intercambio de archivos anónimos como MEGASync, AnonFiles, SendSpace y uFile para filtrar datos.

La carga útil del ransomware continúa con la rutina de cifrado tras la ejecución. El ransomware genera una clave aleatoria que se utiliza para cifrar en función de la API RTLGenRandom , que se guardará inicialmente en la memoria del dispositivo. Luego, la clave se usa en lo que parece ser una implementación personalizada del proceso de encriptación.

La clave también se cifra a través de RSA a través de la implementación de cifrado RSA de GoLang . Realiza el cifrado RSA a través de una lista de claves públicas incrustadas en el binario. Luego se guarda como llave en la unidad cifrada.

La clave generada se borrará de la memoria, dejando la clave de cifrado como la única copia de la clave para el descifrado.

Los intentos de ataque de Hive ransomware contra organizaciones se observaron más en América del Sur, donde Argentina recibió el número más alto y Colombia ocupa el puesto número 7 con 56 intentos de ataque del 1 de agosto de 2021 al 28 de febrero de 2022. 

Las empresas parecen ser los objetivos preferidos de Hive estimados en casi el 40%. Sus víctimas proceden de una amplia gama de sectores, con la tecnología en la parte superior de la lista con un recuento de víctimas de 5. Le siguen los sectores de la salud y el transporte con 4 víctimas cada uno. Otras industrias afectadas incluyen la construcción, los medios y el entretenimiento, los servicios profesionales, el comercio minorista, los materiales, la automoción, la indumentaria y la moda.

Los ataques de ransomware han crecido significativamente en los últimos años y siguen siendo el método preferido de los actores de amenazas que buscan maximizar las ganancias. El impacto de un ataque puede ser perjudicial. Puede dañar potencialmente la reputación de una organización, interrumpir las operaciones regulares y provocar la pérdida temporal, y posiblemente permanente, de datos confidenciales.

  • Actualice el servidor de Exchange a la actualización acumulativa (CU) y la actualización de seguridad (SU) de Exchange más recientes proporcionadas por Microsoft.
  • Exija el uso de contraseñas complejas y solicite a los usuarios que cambien las contraseñas periódicamente.
  • Utilice la solución LAPS de Microsoft para revocar los permisos de administrador local de las cuentas de dominio (el principio de privilegio mínimo) y verifique y elimine periódicamente las cuentas de usuario inactivas.
  • Bloquee el uso de SMBv1 y use la firma de SMB para protegerse contra el ataque pass-the-hash.
  • Restrinja el acceso al mínimo requerido para el rol del empleado.
  • Detecte y evite automáticamente los cambios de control de acceso que violen sus reglas comerciales.
  • Capacite a los empleados en los principios de seguridad y asegúrese de que los empleados reciban capacitación sobre seguridad como parte de sus planes de seguridad cibernética.
  • Establezca prácticas básicas de seguridad y establezca reglas de comportamiento que describan cómo manejar y proteger la organización y la información del cliente y otros datos vitales.

Aunque detectar y responder a tales incidentes puede ser un desafío, la mayoría de las actividades maliciosas se pueden prevenir si se cuenta con las herramientas de seguridad adecuadas, los planes de respuesta a incidentes y los parches para las vulnerabilidades conocidas.