Colmena (ransomware)

Grupo de ransomware que ataca principalmente a instituciones públicas

Hive (también conocido como el grupo de ransomware Hive ) fue una operación de ransomware como servicio (RaaS) llevada a cabo por la organización de ciberdelincuencia homónima entre junio de 2021 y enero de 2023. El propósito del grupo era atacar principalmente instituciones públicas para posteriormente exigir un rescate por la liberación de los datos secuestrados. ^[1]

En enero de 2023, tras una investigación conjunta entre Estados Unidos y Alemania ^[2] en la que participaron 13 agencias de aplicación de la ley, ^[3] Estados Unidos anunció que el FBI había "pirateado a los piratas informáticos" durante varios meses, lo que resultó en la incautación de los servidores del grupo de ransomware Hive, cerrando efectivamente la empresa criminal. ^{[4] [5]} El grupo de ransomware Hive había extorsionado más de 100 millones de dólares a unas 1.500 víctimas en más de 80 países cuando fue desmantelado por las fuerzas del orden. ^{[6] [7] [8]} La investigación continúa, y el Departamento de Estado de EE. UU. agregó una recompensa de 10 millones de dólares estadounidenses por información que vincule al ransomware Hive con cualquier gobierno extranjero. ^[9]

Método de funcionamiento

Hive empleó una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que generó desafíos significativos para la defensa y la mitigación. Según la Oficina Federal de Investigaciones (FBI), funcionó como un ransomware basado en afiliados, utilizando múltiples mecanismos para comprometer las redes comerciales, incluidos correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de escritorio remoto (RDP) una vez que se infiltraba una red. ^[10] Al utilizar malware de bloqueo ^[11] y operar como una plataforma RaaS, ^[12] Hive utilizó técnicas de doble extorsión, en las que los operadores instalan malware de bloqueo para tomar los datos de una entidad víctima y luego los cifran para que se vuelvan inútiles para las víctimas para realizar negocios. Los operadores del grupo luego amenazan con publicar los datos robados en su sitio web oscuro Tor - HiveLeaks - a menos que se pague el rescate. ^[13] El grupo también ha utilizado tácticas de "triple extorsión", buscando extorsionar dinero de cualquier persona afectada por una divulgación de datos de la organización víctima. ^[14]

El ransomware Hive ataca principalmente a los sectores de la energía, la atención sanitaria, las finanzas, los medios de comunicación y la educación, y se hizo famoso por atacar y paralizar infraestructuras críticas. ^[13] Según la empresa de ciberseguridad Paloaltonetworks, a finales de 2022, el ransomware lanza dos scripts por lotes: hive.bat, que intenta eliminarse a sí mismo, y luego shadow.bat, que elimina todas las copias de sombra del sistema. A continuación, añade una extensión .hive a los archivos cifrados, junto con su nota de rescate, titulada "HOW_TO_DECRYPT.txt", que enumera instrucciones para evitar la pérdida de datos. Se incluye una credencial de inicio de sesión generada para iniciar comunicaciones en línea entre la víctima y los piratas informáticos de Hive, etiquetados como su "departamento de ventas". Un enlace de Tor dirige a la víctima a una página de inicio de sesión en la que se envían las credenciales proporcionadas, lo que abre una sala de chat. ^[13]

Historia

Surgimiento y perfil creciente

El ransomware Hive se hizo evidente por primera vez en junio de 2021. ^[15] Dos meses después, ZDNet informó que Hive había atacado al menos a 28 organizaciones de atención médica en los Estados Unidos, incluidas clínicas y hospitales en Ohio y Virginia Occidental . ^[16] En agosto de 2021, el FBI publicó actualizaciones urgentes advirtiendo sobre los riesgos del ransomware Hive, al igual que INCIBE en España, en enero siguiente. ^[17] También en agosto de 2021, el FBI publicó una alerta flash sobre los ataques del ransomware Hive que incluye detalles técnicos e indicadores de compromiso asociados con las operaciones de la banda. ^[10]

En diciembre de 2021, los analistas de Group-IB Threat Intelligence determinaron que el grupo de ransomware Hive se comunicaba en ruso, aunque sin información sobre su ubicación operativa, y que, al 16 de octubre de 2021, al menos 355 empresas habían sido víctimas del ransomware Hive durante los seis meses anteriores, la mayoría en Estados Unidos, y que se había obtenido un rescate de más de 100 víctimas que se comprometían a recuperar el control de las infraestructuras digitales. ^{[18] [19]} El panel de administradores de Hive mostró que sus afiliados habían violado más de 350 organizaciones durante cuatro meses con un promedio de tres empresas atacadas cada día desde que se revelaron las operaciones de Hive a fines de junio. ^[20]

Chainalysis clasificó a Hive en el octavo lugar de la lista de mayores ingresos por ransomware en febrero de 2022. ^[17] En julio de 2022, Malwarebytes clasificó a Hive como el tercer grupo de ransomware más activo, señalando que el grupo estaba evolucionando y que Microsoft había emitido una advertencia indicando que HIVE había actualizado el malware al lenguaje de programación Rust, actualizándolo a un método de cifrado más complejo. ^{[ cita requerida ]}

Enlaces de Conti

Según el experto en sistemas inteligentes avanzados Yelisey Boguslavskiy y BleepingComputer, Hive tenía vínculos con el grupo de ransomware Conti desde al menos noviembre de 2021, ^{[21] [22]} y algunos miembros de Hive trabajaban para ambos grupos. ^[22] Según Boguslavskiy, Hive estaba utilizando activamente el acceso de ataque inicial proporcionado por Conti. ^[21]

En mayo de 2022, BleepingComputer informó que Conti se había asociado con Hive y varias otras bandas de ransomware conocidas, incluidas HelloKitty, AvosLocker, BlackCat y BlackByte, ^[23] y que algunos de los piratas informáticos de Conti migraron a estas organizaciones, incluida Hive, ^{[21] [24]} aunque el grupo rival ^[25] ha negado tener alguna conexión con Conti a pesar de lo cual, una vez que comenzó el proceso de cierre de operaciones y sus piratas informáticos llegaron a Hive, comenzó a emplear la táctica de publicar datos filtrados en la deep web, tal como lo había hecho Conti. ^[21]

Más tarde, en mayo, Conti anunció que comenzaría un proceso de cierre, ^[11] días después de que el Departamento de Justicia anunciara dos acusaciones contra un operador activo de Conti y un ciudadano ruso el 16 de mayo de 2022, ^[26] luego se asoció con Hive para atacar al servicio de salud pública de Costa Rica y a la Caja Costarricense de Seguro Social (CCSS) la semana siguiente. ^[11]

A diferencia del Grupo Conti, Hive no estaba asociado con el apoyo directo a la invasión rusa de Ucrania , aunque es probable que el pago del rescate a Hive lo reciban las mismas personas dentro de Conti que afirmaron la alineación colectiva del grupo con el gobierno ruso . ^[21] Boguslavskiy luego le dijo a BleepingComputer que la evidencia de HIVE activamente a través de los accesos de ataque inicial asegurados desde Conti y a través de los servicios de los probadores de penetración de Conti. ^[27]

Descubrimiento de vulnerabilidades e infiltración del FBI

En febrero de 2022, cuatro investigadores de la Universidad Kookmin en Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware Hive, lo que les permitió obtener la clave maestra y recuperar la información secuestrada. ^{[28] [17]} En mayo, un informe de Cisco indicó que los delincuentes de Hive demostraron poca seguridad al revelar detalles operativos, incluso sobre su proceso de cifrado , y emplean todos los medios para convencer a sus víctimas de que paguen, incluido el ofrecimiento de sobornos a los negociadores de las víctimas después de que se paga el rescate. ^[29]

En julio de 2022, el FBI se infiltró en Hive. Los agentes encubiertos de la oficina de campo de Tampa, Florida, obtuvieron acceso total y actuaron como una subsidiaria en la red de Hive sin ser detectados durante siete meses, mientras recopilaban pruebas y generaban en secreto claves de descifrado para que las víctimas recuperaran sus datos. El FBI trabajó con las víctimas para identificar los objetivos de Hive, luego ingresó a los sistemas de Hive después de obtener órdenes judiciales y órdenes de registro antes de la eventual incautación de la infraestructura digital de Hive, ^[30] que sus miembros usaban para comunicarse y llevar a cabo los ataques. ^[31]

En noviembre de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió un Aviso de Ciberseguridad que detallaba los métodos de mitigación del ransomware Hive, señalando que, desde junio de 2021, el grupo había victimizado a más de 1.300 empresas en todo el mundo y había obtenido aproximadamente 100 millones de dólares en pagos de rescate. ^[32] Dos meses después, cuando fue desmantelado por las fuerzas del orden, Hive había sumado 200 empresas más como víctimas en 80 países. ^[7]

Derrota en el ciberespacio

El 26 de enero de 2023, el fiscal general de los Estados Unidos, Merrick Garland, anunció personalmente ^{[4] [5]} que, en colaboración con las fuerzas del orden de 13 países, ^[3] entre ellos Europol y las agencias policiales alemanas y holandesas, se había logrado infiltrar y desmantelar Hive mediante la incautación de servidores, tras haber obtenido más de 1000 claves de descifrado, ^[33] que la agencia había proporcionado a 336 víctimas antes de cerrar la infraestructura digital de Hive. La investigación del FBI había descubierto dos servidores informáticos back-end utilizados por el grupo para almacenar datos en Los Ángeles, que fueron incautados. La fiscal general adjunta Lisa Monaco explicó que la investigación había "pirateado legalmente a los piratas informáticos". El director del FBI, Christopher A. Wray, informó de que solo alrededor del 20% de las empresas estadounidenses víctimas habían denunciado las infracciones. No se recuperó ningún dinero del rescate ni se realizaron arrestos. La investigación continúa. ^{[2] [4] [5] [31] [33]} El mismo día, el Departamento de Estado de EE. UU. emitió un aviso de una recompensa de 10 millones de dólares estadounidenses por información que vinculara al ransomware Hive con gobiernos extranjeros, bajo su Programa de Recompensas contra el Crimen Organizado Transnacional (TOCRP). ^[9]

2023 arrestos

El 21 de noviembre de 2023, en el marco de una investigación de Europol, las autoridades ucranianas registraron 30 objetos en el oeste de Ucrania y detuvieron a 5 hombres, entre ellos el presunto líder del grupo, de 32 años. Confiscaron una cantidad no especificada de bitcoins equivalente a una cifra de seis cifras en euros a uno de los sospechosos. Europol afirmó que otros sospechosos seguían siendo investigados. ^[34]

Ataques

Marzo de 2021—CNA Insurance

A finales de marzo, la CNA pagó más de 40 millones de dólares para recuperar el control de su red tras un ataque de ransomware, Hive. La empresa con sede en Chicago pagó a los piratas informáticos unas dos semanas después de que se robara una gran cantidad de datos de la empresa y los funcionarios de la CNA quedaran excluidos de su red. ^[35] En 2022, se informó que fue el pago de ransomware más grande revelado hasta ese momento. ^[36]

La aseguradora indicó que su investigación concluyó que los piratas informáticos responsables del ciberataque pertenecían a un grupo llamado Phoenix. Habían utilizado un malware llamado Phoenix Locker, una variante del ransomware Hades utilizado por el grupo cibercriminal ruso Evil Corp. [ ^37]

Agosto de 2021—Sistema de Salud Memorial

El Memorial Healthcare System se vio obligado a obligar a sus hospitales a utilizar registros en papel, cancelar procedimientos y derivar a los pacientes a otras instalaciones no comprometidas. La organización pagó un rescate a Hive para recuperar el acceso a sus sistemas. ^[16]

Abril de 2022: servidores Microsoft Exchange

Una investigación realizada por una empresa de ciberseguridad reveló, en abril de 2022, que una filial del grupo de ransomware Hive estaba atacando servidores Microsoft Exchange con vulnerabilidades a problemas de seguridad de ProxyShell, implementando una variedad de puertas traseras, como la baliza Cobalt Strike, y posteriormente ejecutando un reconocimiento de red para robar credenciales de cuentas de administrador, exfiltrar datos valiosos e implementar la carga útil de cifrado de archivos. ^[38]

Mayo 2022—Instituciones públicas navarras

También en mayo de 2022, Hive atacó la Comunidad Foral de Navarra , España, obligando a un centenar de instituciones a utilizar lápiz y papel mientras se recuperaban los sistemas. ^{[39] [40]}

Mayo de 2022—Banco de Zambia

Cuando Hive atacó al Banco de Zambia ^[41] en mayo de 2022, se negó a pagar el rescate, afirmando que tenía medios para recuperar sus sistemas, y publicó un enlace a una foto de un pene en el chat de los extorsionadores. ^{[42] [41] [43]}

Mayo-junio de 2022—Costa Rica

Conti anunció que comenzarían un proceso de apagado ^[11] días después de que el Departamento de Justicia anunciara sus dos acusaciones a un operador activo de Conti y un ciudadano ruso el 16 de mayo de 2022. ^[26] Después de que se restableciera la infraestructura digital de Conti el 19 de mayo, se hizo evidente que Conti, alegando un objetivo de derrocar al gobierno, se asoció con Hive para atacar el servicio de salud pública de Costa Rica y la Caja Costarricense de Seguro Social (CCSS). ^[11] El 31 de mayo, aproximadamente a las 2:00 am ( UTC -6:00), la Caja Costarricense de Seguro Social (CCSS) detectó flujos de información anómalos en sus sistemas e inmediatamente procedió a apagar todos sus sistemas críticos, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema de Cobranza Centralizada. Algunas impresoras de la institución imprimían mensajes con códigos o caracteres aleatorios, ^[44] mientras que otras imprimían instrucciones predeterminadas del grupo de ransomware Hive sobre cómo recuperar el acceso a los sistemas. ^[45] Durante el ataque, se demostró que Hive fue el único responsable de derribar 800 servidores del gobierno y miles de terminales de usuarios. ^[13] El presidente de la CCSS, Álvaro Ramos Chaves, afirmó que las bases de datos con información sensible no fueron comprometidas, aunque al menos 30 de los 1.500 servidores de la institución habían sido contaminados con ransomware. ^[45]

Agosto de 2022: Soluciones técnicas de Bell

La filial de la empresa de telecomunicaciones Bell Canada, Bell Technical Solutions, fue atacada por el ransomware Hive en agosto de 2022. ^[46] Hive filtró los datos robados de la empresa. ^[14]

Noviembre de 2022—Intersport

En diciembre, se informó que Hive vulneró los datos del fabricante suizo de artículos deportivos Intersport , con más de 700 puntos de venta, en noviembre. Los detalles de la vulneración solo se vieron en la red oscura, según el medio de comunicación en francés Numerama . Hive exigió que la empresa pagara una cantidad no revelada el mismo día. Un archivo de muestra supuestamente filtrado en la red oscura por Hive y examinado por Numerama contiene pasaportes, recibos de sueldo y otra información personal sobre los clientes de Intersport, lo que se considera una práctica común entre las bandas de ransomware. Por lo general, la banda de ransomware bloquea o cifra todos los datos de la empresa antes de amenazar con publicarlos en línea si no se cumplen las demandas de rescate. ^[47]

Véase también

• Lista de ciberataques

Referencias

1. "El grupo de ransomware Hive afirma haber robado datos de pacientes de planes de salud de California". VentureBeat . 29 de marzo de 2022. Archivado desde el original el 31 de mayo de 2022 . Consultado el 15 de junio de 2022 .
2. "'Hemos hackeado a los hackers': ransomware Hive incautado en redada global". Bloomberg.com . 2023-01-26 . Consultado el 2023-06-21 .
3. Glover, Claudia (26 de enero de 2023). "El FBI y la Europol derribaron la infraestructura de la banda de ransomware Hive". Tech Monitor . Consultado el 21 de junio de 2023 .
4. Menn, Joseph; Stein, Perry; Schaffer, Aaron (26 de enero de 2023). "El FBI desmantela una banda de ransomware que atacaba escuelas y hospitales". Washington Post . ISSN  0190-8286 . Consultado el 21 de junio de 2023 .
5. Mclaughlin, Jenna (26 de enero de 2023). "El FBI dice que 'hackeó a los piratas informáticos' para cerrar un importante grupo de ransomware". Radio Pública Nacional . Consultado el 21 de junio de 2023 .
6. "Oficina de Asuntos Públicos | Departamento de Justicia de Estados Unidos desbarata la variante del ransomware Hive | Departamento de Justicia de Estados Unidos". www.justice.gov . 2023-01-26 . Consultado el 2023-06-21 .
7. Bushwick, Sophie (abril de 2023). "El FBI derriba el grupo de ransomware criminal Hive". Scientific American . Consultado el 21 de junio de 2023 .
8. "Estados Unidos cierra la importante red de ransomware Hive". www.aljazeera.com . Consultado el 21 de junio de 2023 .
9. "Estados Unidos ofrece una recompensa de 10 millones de dólares por vínculos del ransomware Hive con gobiernos extranjeros". BleepingComputer . Consultado el 21 de junio de 2023 .
10. "Indicadores de compromiso asociados con Hive Ransomware" (PDF) . 25 de agosto de 2021. Archivado (PDF) del original el 24 de mayo de 2022 . Consultado el 8 de junio de 2023 .
11. "Se cierra la operación de ransomware Conti después de que la marca se volviera tóxica". www.securityweek.com . 23 de mayo de 2022. Archivado desde el original el 8 de junio de 2022 . Consultado el 15 de junio de 2022 .
12. Shakir, Umar (27 de enero de 2023). "El FBI dice que "hackeó a los piratas informáticos" de un servicio de ransomware, ahorrando a las víctimas 130 millones de dólares". The Verge . Consultado el 21 de junio de 2023 .
13. "El grupo de ransomware Hive se atribuye la responsabilidad de la filtración de datos de Tata Power". TimesNow . 2022-10-25 . Consultado el 2023-06-21 .
14. Singh, Carly Page y Jagmeet (25 de octubre de 2022). "La banda de ransomware Hive filtra datos robados durante el ciberataque a Tata Power". TechCrunch . Consultado el 3 de agosto de 2023 .
15. "El FBI emite una alerta sobre el ransomware Hive". Noticias de TI sanitarias . 2 de septiembre de 2021. Archivado desde el original el 20 de mayo de 2022. Consultado el 7 de junio de 2022 .
16. "El FBI publica una alerta sobre el ransomware Hive tras un ataque al sistema hospitalario en Ohio y Virginia Occidental". ZDNET . Consultado el 21 de junio de 2023 .
17. "Los investigadores descifran el ransomware Hive y recuperan hasta el 98 % de los archivos". The Stack . 2022-02-21 . Consultado el 2023-06-21 .
18. "Dentro de la colmena". Grupo IB . 9 de diciembre de 2021.
19. "El ransomware Hive se cobra cientos de víctimas en un lapso de seis meses". TechTarget.com . Archivado desde el original el 5 de junio de 2022 . Consultado el 7 de junio de 2022 .
20. "El ransomware Hive entra en la liga mayor con cientos de ataques en cuatro meses". BleepingComputer . Consultado el 21 de junio de 2023 .
21. «La agencia de salud pública de Costa Rica se vio afectada por el ransomware Hive». BleepingComputer . Archivado desde el original el 6 de junio de 2022 . Consultado el 7 de junio de 2022 .
22. "FBI: el ransomware Hive extorsionó 100 millones de dólares a más de 1300 víctimas". BleepingComputer . Consultado el 21 de junio de 2023 .
23. "El ransomware Conti cierra operaciones y cambia de marca en unidades más pequeñas". BleepingComputer . Consultado el 21 de junio de 2023 .
24. "¿El equipo del ransomware Conti orquestó su propia desaparición?". ComputerWeekly.com . Archivado desde el original el 30 de mayo de 2022. Consultado el 7 de junio de 2022 .
25. "La policía cierra el ransomware Hive; el FBI posee las claves de descifrado y el sitio web público del grupo". Revista CPO . Consultado el 4 de junio de 2023 .
26. "Distrito de Nueva Jersey | Ciudadano ruso acusado de ataques de ransomware contra infraestructura crítica | Departamento de Justicia de los Estados Unidos". www.justice.gov . 2023-05-16 . Consultado el 2023-06-21 .
27. "El ransomware Hive se atribuye un ciberataque a una filial de Bell Canada". BleepingComputer . Consultado el 21 de junio de 2023 .
28. Kim, Giyoon; Kim, Soram; Kang, Soojin; Kim, Jongsung (2022). "Un método para descifrar datos infectados con el ransomware Hive". arXiv : 2202.08477 [cs.CR].
29. McKay, Kendall. "Operaciones de ransomware Conti y Hive: aprovechamiento de los chats de las víctimas para obtener información" (PDF) . Talos Intelligence. Archivado (PDF) del original el 31 de mayo de 2022. Consultado el 8 de junio de 2022 .
30. "Cómo el FBI evitó ataques de ransomware por valor de 130 millones de dólares al hackear a los piratas informáticos detrás de Hive". Fortune Crypto . Consultado el 22 de mayo de 2023 .
31. Lowell, Hugo (26 de enero de 2023). «Las autoridades estadounidenses confiscan servidores del grupo de ransomware Hive». The Guardian . ISSN  0261-3077 . Consultado el 21 de junio de 2023 .
32. "#StopRansomware: Hive Ransomware | CISA". www.cisa.gov . 2022-11-25 . Consultado el 21 de junio de 2023 .
33. "EE.UU. y Europol confiscan servidores del ransomware Hive y sitios de filtraciones: 'Hemos pirateado a los piratas informáticos'". SC Media . 2023-01-26 . Consultado el 2023-06-21 .
34. "Ermittler nehmen mutmaßliche Hacker in der Ukraine fest". tagesschau.de (en alemán) . Consultado el 28 de noviembre de 2023 .
35. Mehrotra, Kartikay; Turton, William (21 de mayo de 2021). "CNA Financial pagó 40 millones de dólares en rescate tras el ciberataque de marzo". Bloomberg Businessweek . Consultado el 22 de mayo de 2021 .
36. Nir Kshetri; Jeffrey Voas (marzo de 2022). "Ransomware: ¿Pagar para jugar?". Computer . 55 (3): 11–13. doi :10.1109/MC.2021.3126529. ISSN  0018-9162. Wikidata  Q112073068.
37. "CNA paga un rescate de 40 millones de dólares para eliminar malware de sus sistemas". www.insurancebusinessmag.com . Consultado el 21 de junio de 2023 .
38. "Hackean servidores de Microsoft Exchange para implementar el ransomware Hive". BleepingComputer . Consultado el 21 de junio de 2023 .
39. Otazu, Amaia (28 de mayo de 2022). "Un ataque informático devuelve a la era del papel a 179 entidades navarras". El País (en español). Archivado desde el original el 5 de junio de 2022 . Consultado el 7 de junio de 2022 .
40. "El culpable del hackeo a las webs municipales navarras es el ransomware Hive". Pamplona Actual (en español). 30 de mayo de 2022. Archivado desde el original el 30 de mayo de 2022 . Consultado el 7 de junio de 2022 .
41. "Los atacantes de ransomware reciben poca atención del Banco Central de Zambia". Bloomberg.com . 18 de mayo de 2022 . Consultado el 7 de junio de 2022 .
42. "El Banco de Zambia responde con una" fotopolla "a la extorsión de los ciberdelincuentes que les atacaron". derechodelared.com (en español). 25 de mayo de 2022. Archivado desde el original el 25 de mayo de 2022 . Consultado el 7 de junio de 2022 .
43. "El banco nacional atacado por ransomware ataca a los piratas informáticos con fotos de penes". BleepingComputer . Archivado desde el original el 1 de junio de 2022 . Consultado el 7 de junio de 2022 .
44. "FOTOS Y VIDEO: Los extraños mensajes de las impresoras de la CCSS tras hackeo". CRHoy.com (en español). Archivado desde el original el 31 de mayo de 2022 . Consultado el 8 de junio de 2022 .
45. "Hive Ransomware Group, el grupo de cibercriminales que atacó la CCSS y tiene predilección por instituciones de salud". delfino.cr (en español). Archivado desde el original el 31 de mayo de 2022 . Consultado el 8 de junio de 2022 .
46. "El ransomware Hive se atribuye un ciberataque a una filial de Bell Canada". BleepingComputer . Consultado el 29 de julio de 2023 .
47. Black, Damien (6 de diciembre de 2022). «Hive añade una empresa deportiva francesa a la lista de víctimas, según afirman los medios locales». Cybernews . Consultado el 23 de julio de 2023 .