El grupo de ransomware Hive que destacó en 2021 ha regresado

30 de marzo de 202230 de marzo de 2022

Vuelve el ransomware Hive Group que destacó en 2021; aprenda a protegerse

El grupo Hive ya ha sido objeto de nuestros informes de seguridad con anterioridad, debido a su prominencia en el mundo cibernético. Traemos de vuelta el tema sobre este ransomware, que hoy tiene una alta posibilidad de correlación con Nokoyawa debido a que comparten algunas similitudes en sus cadenas de ataque, desde las herramientas utilizadas hasta el orden en que realizan varios pasos.

Lea más informes de seguridad como éste en Twitter de nuestro equipo de información sobre amenazas. Visite y siga twitter.com/heimdallish

El ransomware Hive se observó por primera vez en junio de 2021 y es probable que opere como un ransomware basado en afiliación, utilizando una amplia variedad de Tácticas, Técnicas y Procedimientos (TTP), y es difícil de defender y mitigar.

Se utilizan varios vectores de compromiso, incluyendo phishing con archivos adjuntos maliciosos y el escritorio remoto(RDP) para moverse lateralmente en la red. Una vez establecido el acceso a la red, Hive busca procesos relacionados con copias de seguridad, antivirus/antispyware y copia de archivos para terminarlos y facilitar así el cifrado de archivos, que suelen terminar con la extensión *.key.hive o *.key.*.

Algunos de los indicadores compartidos por Nokoyawa y Hive incluyen el uso de Cobalt Strike, así como el uso de herramientas legítimas como los escáneres anti-rootkit GMER y PC Hunter para la evasión de defensas. Otros pasos, como la recopilación de información y el despliegue lateral, también son similares.

Hive, en su página web oscura - HiveLeaks, registra al menos 70 víctimas hasta la fecha. Mediante una doble extorsión, exigen dinero por la recuperación de los archivos cifrados y amenazan con filtrar los datos exfiltrados de la víctima si no se efectúa el pago.

MITRE ATT&AMP;CK

Analizando el archivo xxx.exe relacionado con Hive, identifica al menos tres TTP utilizados para el ataque:

TTP	ID	TÁCTICA
Descubrimiento de información del sistema	T1082	Descubrimiento
Servicios remotos: Protocolo de escritorio remoto	T1021.001	Movimiento lateral
Archivos o información ofuscados: empaquetado de software	T1027.002	Defensa Evasión

Descubrimiento de información del sistema

Obtener información detallada sobre el sistema operativo y el hardware, incluyendo versión, parches, hotfixes, service packs y arquitectura. Dicha información puede utilizarse para determinar el comportamiento posterior, incluyendo si el adversario infectará completamente el objetivo y/o intentará acciones específicas.

Servicios remotos: Protocolo de escritorio remoto

Los atacantes pueden utilizar cuentas válidas para iniciar sesión en un ordenador mediante el Protocolo de Escritorio Remoto (RDP) y, a continuación, realizar acciones con los privilegios del usuario conectado.

El escritorio remoto es una función habitual en los sistemas operativos y permite a un usuario iniciar sesión en un sistema remoto. En estos intentos de acceso se utilizan credenciales previamente filtradas.

Archivos o información ofuscados: empaquetado de software

Técnica utilizada para ocultar código malicioso. El software empaquetado es un método para comprimir o cifrar un ejecutable. La compactación de un ejecutable altera la firma del archivo en un intento de evitar la detección basada en firmas.

IOCS

A continuación se enumeran algunos Indicadores de Compromiso para ayudar a detectar estas posibles amenazas.

Enlace cebollahiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Se pueden utilizar algunos sitios de intercambio de archivos, como:

https://anonfiles.com
https://mega.nz
https://send.exploit.in
https://ufile.io
https://www.sendspace.com

Algunos de los siguientes indicadores pueden ser de aplicaciones legítimas, sin embargo, estas aplicaciones pueden ser utilizadas por los actores de amenazas durante los ataques. Se recomienda eliminar cualquier aplicación que no se considere necesaria para las operaciones cotidianas.

Winlo.exe
MD5	b5045d802394f4560280a7404af69263
SHA256	321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c
Directorio	C:\Windows\SysWOW64\winlo.exe
Descripción	Entregar 7zG.exe

7zG.exe
MD5	04FB3AE7F05C8BC333125972BA907398
Descripción	Este es un 7zip legítimo, versión 19.0.0; entrega Winlo_dump_64_SCY.exe

Winlo_dump_64_SCY.exe
MD5	BEE9BA70F36FF250B31A6FDF7FA8AFEB
Descripción	Responsable de encriptar archivos con extensión .key.; entrega el HOW_TO_DECRYPT.txt

HOW_TO_DECRYPT.txt

Descripción

Detiene y desactiva Windows Defender;

Elimina toda la configuración de Windows Defender;

Elimina el menú contextual de Windows Defender;

Detiene los siguientes servicios y desactiva su reinicio:

- LanmanWorkstation
- SamSs
- SDRSVC
- SstpSVc
- UI0Detect
- Vmicvss
- Vmss
- VSS
- Wbengine
- Unistoresvc

Intenta eliminar las instantáneas de volumen(vssadmin y wmic);

Elimina Registros Registros de eventos de Windows: Sistema, Seguridad, Aplicación y PowerShell;

Utiliza notepad ++ para crear el archivo de claves;

Cambia el inicio para ignorar errores y no intentar la recuperación del sistema;

Entrega el script PowerShell.

Otros IoC

*.clave.colmena
*.key.*
HOW_TO_DECRYPT.txt
hive.bat
shadow.bat
vssadmin.exe borrar sombras /all /quiet
wmic.exe SHADOWCOPY /nointeractive
wmic.exe borrar shadowcopy
wevtutil.exe cl sistema
wevtutil.exe cl seguridad
wevtutil.exe cl aplicación
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
Utilidades Glary 5
xxx.exe
75.exe
3.exe
adf.bat
Kit de herramientas de Microsoft
Re-Loader By R@1n
a42_96.exe_.sa
Get-DataInfo.ps1
ss64.dll
VeeamUpdate.exe

Hashes

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a70729b3241154d81f2fff506e5434be0a0c381354a84317958327970a125507 2ef9a4f7d054b570ea6d6ae704602b57e27dee15f47c53decb16f1ed0d949187 e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4

CONCLUSIÓN

A pesar de ser amenazas relativamente nuevas, han estado causando grandes pérdidas y daños a empresas de todo el mundo. Estas familias de ransomware ya han afectado a organizaciones brasileñas y deberían estar en el radar para su posible detección. Por lo tanto, se recomienda el uso de los IoCs presentados, así como la aplicación de las recomendaciones que se enumeran a continuación.

RECOMENDACIONES

Mantenga copias de seguridad de los datos encriptadas y sin conexión, y pruébelas con frecuencia. Las copias de seguridad deben realizarse con regularidad. Es importante que se mantengan sin conexión, ya que muchas variantes de ransomware intentan localizar y eliminar o cifrar las copias de seguridad accesibles.

2. Crear, mantener y ejecutar un plan básico de respuesta a incidentes cibernéticos, un plan de recuperación y un plan de comunicaciones asociado.

El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware. Recomendamos la Guía conjunta sobre ransomware de CISA y el Centro Interestatal de Información e Intercambio (MS-ISAC) para obtener más detalles sobre la creación de un plan de respuesta a incidentes cibernéticos.
El plan de recuperación debe abordar cómo operar si se pierde el acceso o el control de las funciones críticas. CISA ofrece evaluaciones de ciberresiliencia gratuitas y no técnicas para ayudar a las organizaciones a evaluar su resiliencia operativa y sus prácticas de ciberseguridad.

3. Mitigar las vulnerabilidades y los errores de configuración de los servicios orientados a Internet para reducir el riesgo de que los actores exploten esta superficie de ataque:

a. Emplear las mejores prácticas para utilizar el Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Los actores de amenazas a menudo obtienen acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y posteriormente propagan el ransomware.

Audite la red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuenta tras un número determinado de intentos, aplique autenticación multifactor (MFA) y registre los intentos de inicio de sesión RDP.

b. Realizar escaneos regulares de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet. CISA ofrece una variedad de servicios gratuitos de ciberhigiene, incluido el escaneado de vulnerabilidades, para ayudar a las organizaciones de infraestructuras críticas a evaluar, identificar y reducir su exposición a ciberamenazas como el ransomware. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre las formas de reducir su riesgo y mitigar los vectores de ataque.

c. Actualizar oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Dé prioridad a la corrección oportuna de las vulnerabilidades y puntos vulnerables críticos de los servidores orientados a Internet, así como del software de procesamiento de datos de Internet, los navegadores web, los complementos de navegadores y los lectores de documentos. Si no es posible una reparación rápida, aplique las medidas de mitigación proporcionadas por el proveedor.

d. Asegúrese de que los dispositivos están configurados correctamente y de que las funciones de seguridad están activadas; por ejemplo, desactive los puertos y protocolos que no se estén utilizando con fines empresariales.

e. Desactivar o bloquear el protocoloServer Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.

4. Reducir el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:

a. Activación de los filtros de spam.

b. Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas (por ejemplo, phishing) o incidentes.

5. Utilizar las mejores prácticas de ciberseguridad disponibles:

a. Asegúrese de que todo el software antivirus, antimalware y de firmas esté actualizado.

b. Implementarlistas de aplicaciones permitidas.

c. Garantizar que las cuentas de usuario y los privilegios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas con privilegios.

d. Emplear la AMF para el mayor número posible de servicios, especialmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.

REFERENCIAS

Mitre Att&ck
ic3.gov
Trendmicro
Punto de control
CISA
FBI
Crowdstrike

Tags: CIBERSEGURIDAD, CIBERSEGURIDAD, CIBERSEGURIDAD, HIVE, HIVE GROUP, HIVE, MITRE ATT&CK, NOKOYAWA, ransomware, RANSOMWARE, RANSOMWARE ATTACK