El FBI ha investigado las maquinaciones del ransomware Hive. Se constató que más de 1.300 empresas en todo el mundo fueron perjudicadas y extorsionadas por unos 100 millones de dólares. Media Markt y Saturn fueron víctimas destacadas en Alemania.
El FBI ha creado un Aviso de seguridad cibernética (CSA) basado en su investigación sobre el ransomware Hive. Las sugerencias, ideas y publicaciones incluidas son sugerencias valiosas para los defensores de la red. Los hallazgos fueron publicados en la página del proyecto CISA Detener ransomware veröffentlicht.
Botín de $ 100 millones
Hasta noviembre de 2022, los actores del ransomware Hive han dañado a más de 1.300 empresas en todo el mundo y han recibido alrededor de 100 millones de dólares en pagos de rescate, según el FBI. En noviembre de 2021, Hive lanzó ciberataques contra Media Markt y Saturn y los chantajeó. Hive ransomware sigue el modelo de ransomware-as-a-service (RaaS), donde los desarrolladores crean, mantienen y actualizan el malware, y los socios ejecutan los ataques de ransomware.
Desde junio de 2021 hasta al menos noviembre de 2022, los actores de amenazas implementaron el ransomware Hive para atacar una amplia gama de empresas e infraestructura crítica, incluidas instalaciones gubernamentales, instalaciones de comunicaciones, instalaciones de fabricación críticas, tecnología de la información y, en particular, servicios sociales y de atención médica.
Escenarios de ataque clásicos
El método de penetración inicial depende de qué empresa esté atacando la red.. Los actores de Hive obtuvieron acceso inicial a las redes de las víctimas iniciando sesión a través del Protocolo de escritorio remoto (RDP), redes privadas virtuales (VPN) y otros protocolos de conexión de red remota de un solo factor.
En algunos casos, los actores de Hive eludieron la autenticación multifactor (MFA) y obtuvieron acceso a los servidores de FortiOS al explotar la vulnerabilidad CVE-2020-12812. Esta vulnerabilidad permite que un actor cibernético malintencionado inicie sesión sin que se le solicite el segundo factor de autenticación del usuario (FortiToken) si el actor cambia las mayúsculas y minúsculas del nombre de usuario.
Los actores de Hive también obtuvieron acceso inicial a las redes de las víctimas mediante la distribución de correos electrónicos de phishing con archivos adjuntos maliciosos y la explotación de las siguientes vulnerabilidades en los servidores de Microsoft Exchange.
Más en CISA.gov.com