El gobierno de EE. UU. advirtió sobre la actividad maliciosa en curso por parte de la notoria pandilla de ransomware Hive, que ha extorsionado más de $ 100 millones de su creciente lista de víctimas.
Un aviso conjunto publicado por el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. y el Departamento de Salud y Servicios Humanos reveló el jueves que la pandilla de ransomware Hive ha recibido más de $ 100 millones en pagos de rescate de más de 1,300 víctimas desde que la pandilla fue observado por primera vez en junio de 2021.
Esta lista de víctimas incluye organizaciones de una amplia gama de industrias y sectores de infraestructura crítica, como instalaciones gubernamentales, comunicaciones y tecnología de la información, con un enfoque en entidades de salud y salud pública.
Hive, que opera un modelo de ransomware como servicio (RaaS), afirmó que el Memorial Health System, con sede en Illinois, fue su primera víctima de atención médica en agosto de 2021. Este ataque cibernético obligó al sistema de salud a desviar la atención de los pacientes de emergencia y cancelar la atención de urgencia. cirugías y exámenes de radiología. La banda de ransomware también publicó información de salud confidencial de unos 216.000 pacientes.
Luego, en junio de 2022, la pandilla comprometió el servicio de salud pública de Costa Rica antes de apuntar al proveedor de servicios de ambulancia y respuesta de emergencia Empress EMS con sede en Nueva York el mes siguiente. A más de 320,000 personas les robaron información, incluidos nombres, fechas de servicios, información de seguros y números de Seguro Social.
El mes pasado, Hive también agregó Lake Charles Memorial Health System, un sistema hospitalario en el suroeste de Luisiana, a su sitio de fugas en la web oscura, donde publicó cientos de gigabytes de datos, incluida información de pacientes y empleados.
Hive también apuntó a Tata Power, una de las principales empresas de generación de energía en India, en octubre.
El aviso conjunto FBI-CISA-HHS advierte que Hive generalmente obtiene acceso a las redes de las víctimas mediante el uso de credenciales de un solo factor robadas para acceder a los sistemas de escritorio remoto de las organizaciones, redes privadas virtuales y otros sistemas orientados a Internet. Pero CISA también advierte que el grupo de ransomware también elude algunos sistemas de autenticación de múltiples factores al explotar vulnerabilidades sin parches.
“En algunos casos, los actores de Hive omitieron la autenticación multifactor y obtuvieron acceso a los servidores de FortiOS al explotar CVE-2020-12812”, dice el aviso. «Esta vulnerabilidad permite que un actor cibernético malicioso inicie sesión sin solicitar el segundo factor de autenticación del usuario (FortiToken) cuando el actor cambia el caso del nombre de usuario».
El aviso también advierte que se ha observado que los actores de Hive reinfectan a las víctimas que restauraron sus entornos sin pagar un rescate, ya sea con Hive u otra variante de ransomware.
Los investigadores del Threat Intelligence Center (MSTIC) de Microsoft advirtieron a principios de este año que Hive había actualizado su malware al migrar su código de Go al lenguaje de programación Rust, lo que le permitió usar un método de cifrado más complejo para su ransomware como carga útil del servicio.
El gobierno de EE. UU. compartió los indicadores de compromiso (IOC) y las tácticas, técnicas y procedimientos (TTP) de Hive descubiertos por el FBI para ayudar a los defensores a detectar actividades maliciosas asociadas con los afiliados de Hive y reducir o eliminar el impacto de tales incidentes.