El grupo Hive ya ha sido objeto de nuestros informes de seguridad con anterioridad, debido a su prominencia en el mundo cibernético. Traemos de vuelta el tema sobre este ransomware, que hoy tiene una alta posibilidad de correlación con Nokoyawa debido a que comparten algunas similitudes en sus cadenas de ataque, desde las herramientas utilizadas hasta el orden en que realizan varios pasos.
Lea más informes de seguridad como éste en Twitter de nuestro equipo de información sobre amenazas. Visite y siga twitter.com/heimdallish
El ransomware Hive se observó por primera vez en junio de 2021 y es probable que opere como un ransomware basado en afiliación, utilizando una amplia variedad de Tácticas, Técnicas y Procedimientos (TTP), y es difícil de defender y mitigar.
Se utilizan varios vectores de compromiso, incluyendo phishing con archivos adjuntos maliciosos y el escritorio remoto(RDP) para moverse lateralmente en la red. Una vez establecido el acceso a la red, Hive busca procesos relacionados con copias de seguridad, antivirus/antispyware y copia de archivos para terminarlos y facilitar así el cifrado de archivos, que suelen terminar con la extensión *.key.hive o *.key.*.
Algunos de los indicadores compartidos por Nokoyawa y Hive incluyen el uso de Cobalt Strike, así como el uso de herramientas legítimas como los escáneres anti-rootkit GMER y PC Hunter para la evasión de defensas. Otros pasos, como la recopilación de información y el despliegue lateral, también son similares.
Hive, en su página web oscura - HiveLeaks, registra al menos 70 víctimas hasta la fecha. Mediante una doble extorsión, exigen dinero por la recuperación de los archivos cifrados y amenazan con filtrar los datos exfiltrados de la víctima si no se efectúa el pago.
MITRE ATT&CK
Analizando el archivo xxx.exe relacionado con Hive, identifica al menos tres TTP utilizados para el ataque:
TTP | ID | TÁCTICA |
Descubrimiento de información del sistema | T1082 | Descubrimiento |
Servicios remotos: Protocolo de escritorio remoto | T1021.001 | Movimiento lateral |
Archivos o información ofuscados: empaquetado de software | T1027.002 | Defensa Evasión |
Descubrimiento de información del sistema
Obtener información detallada sobre el sistema operativo y el hardware, incluyendo versión, parches, hotfixes, service packs y arquitectura. Dicha información puede utilizarse para determinar el comportamiento posterior, incluyendo si el adversario infectará completamente el objetivo y/o intentará acciones específicas.
Servicios remotos: Protocolo de escritorio remoto
Los atacantes pueden utilizar cuentas válidas para iniciar sesión en un ordenador mediante el Protocolo de Escritorio Remoto (RDP) y, a continuación, realizar acciones con los privilegios del usuario conectado.
El escritorio remoto es una función habitual en los sistemas operativos y permite a un usuario iniciar sesión en un sistema remoto. En estos intentos de acceso se utilizan credenciales previamente filtradas.
Archivos o información ofuscados: empaquetado de software
Técnica utilizada para ocultar código malicioso. El software empaquetado es un método para comprimir o cifrar un ejecutable. La compactación de un ejecutable altera la firma del archivo en un intento de evitar la detección basada en firmas.
IOCS
A continuación se enumeran algunos Indicadores de Compromiso para ayudar a detectar estas posibles amenazas.
Enlace cebollahiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion
Se pueden utilizar algunos sitios de intercambio de archivos, como:
- https://anonfiles.com
- https://mega.nz
- https://send.exploit.in
- https://ufile.io
- https://www.sendspace.com
Algunos de los siguientes indicadores pueden ser de aplicaciones legítimas, sin embargo, estas aplicaciones pueden ser utilizadas por los actores de amenazas durante los ataques. Se recomienda eliminar cualquier aplicación que no se considere necesaria para las operaciones cotidianas.
Winlo.exe | |
MD5 | b5045d802394f4560280a7404af69263 |
SHA256 | 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c |
Directorio | C:\Windows\SysWOW64\winlo.exe |
Descripción | Entregar 7zG.exe |
7zG.exe | |
MD5 | 04FB3AE7F05C8BC333125972BA907398 |
Descripción | Este es un 7zip legítimo, versión 19.0.0; entrega Winlo_dump_64_SCY.exe |
Winlo_dump_64_SCY.exe | |
MD5 | BEE9BA70F36FF250B31A6FDF7FA8AFEB |
Descripción | Responsable de encriptar archivos con extensión *.key.*; entrega el HOW_TO_DECRYPT.txt |
HOW_TO_DECRYPT.txt | |
Descripción | Detiene y desactiva Windows Defender; Elimina toda la configuración de Windows Defender; Elimina el menú contextual de Windows Defender; Detiene los siguientes servicios y desactiva su reinicio: - LanmanWorkstation - SamSs - SDRSVC - SstpSVc - UI0Detect - Vmicvss - Vmss - VSS - Wbengine - Unistoresvc Intenta eliminar las instantáneas de volumen(vssadmin y wmic); Elimina Registros Registros de eventos de Windows: Sistema, Seguridad, Aplicación y PowerShell; Utiliza notepad ++ para crear el archivo de claves; Cambia el inicio para ignorar errores y no intentar la recuperación del sistema; Entrega el script PowerShell. |
Otros IoC |
*.clave.colmena *.key.* HOW_TO_DECRYPT.txt hive.bat shadow.bat vssadmin.exe borrar sombras /all /quiet wmic.exe SHADOWCOPY /nointeractive wmic.exe borrar shadowcopy wevtutil.exe cl sistema wevtutil.exe cl seguridad wevtutil.exe cl aplicación bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures bcdedit.exe /set {default} recoveryenabled no Utilidades Glary 5 xxx.exe 75.exe 3.exe adf.bat Kit de herramientas de Microsoft Re-Loader By R@1n a42_96.exe_.sa Get-DataInfo.ps1 ss64.dll VeeamUpdate.exe |
Hashes |
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a70729b3241154d81f2fff506e5434be0a0c381354a84317958327970a125507 2ef9a4f7d054b570ea6d6ae704602b57e27dee15f47c53decb16f1ed0d949187 e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4 |
CONCLUSIÓN
A pesar de ser amenazas relativamente nuevas, han estado causando grandes pérdidas y daños a empresas de todo el mundo. Estas familias de ransomware ya han afectado a organizaciones brasileñas y deberían estar en el radar para su posible detección. Por lo tanto, se recomienda el uso de los IoCs presentados, así como la aplicación de las recomendaciones que se enumeran a continuación.
RECOMENDACIONES
Mantenga copias de seguridad de los datos encriptadas y sin conexión, y pruébelas con frecuencia. Las copias de seguridad deben realizarse con regularidad. Es importante que se mantengan sin conexión, ya que muchas variantes de ransomware intentan localizar y eliminar o cifrar las copias de seguridad accesibles.
2. Crear, mantener y ejecutar un plan básico de respuesta a incidentes cibernéticos, un plan de recuperación y un plan de comunicaciones asociado.
- El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware. Recomendamos la Guía conjunta sobre ransomware de CISA y el Centro Interestatal de Información e Intercambio (MS-ISAC) para obtener más detalles sobre la creación de un plan de respuesta a incidentes cibernéticos.
- El plan de recuperación debe abordar cómo operar si se pierde el acceso o el control de las funciones críticas. CISA ofrece evaluaciones de ciberresiliencia gratuitas y no técnicas para ayudar a las organizaciones a evaluar su resiliencia operativa y sus prácticas de ciberseguridad.
3. Mitigar las vulnerabilidades y los errores de configuración de los servicios orientados a Internet para reducir el riesgo de que los actores exploten esta superficie de ataque:
a. Emplear las mejores prácticas para utilizar el Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Los actores de amenazas a menudo obtienen acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y posteriormente propagan el ransomware.
Audite la red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuenta tras un número determinado de intentos, aplique autenticación multifactor (MFA) y registre los intentos de inicio de sesión RDP.
b. Realizar escaneos regulares de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet. CISA ofrece una variedad de servicios gratuitos de ciberhigiene, incluido el escaneado de vulnerabilidades, para ayudar a las organizaciones de infraestructuras críticas a evaluar, identificar y reducir su exposición a ciberamenazas como el ransomware. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre las formas de reducir su riesgo y mitigar los vectores de ataque.
c. Actualizar oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Dé prioridad a la corrección oportuna de las vulnerabilidades y puntos vulnerables críticos de los servidores orientados a Internet, así como del software de procesamiento de datos de Internet, los navegadores web, los complementos de navegadores y los lectores de documentos. Si no es posible una reparación rápida, aplique las medidas de mitigación proporcionadas por el proveedor.
d. Asegúrese de que los dispositivos están configurados correctamente y de que las funciones de seguridad están activadas; por ejemplo, desactive los puertos y protocolos que no se estén utilizando con fines empresariales.
e. Desactivar o bloquear el protocoloServer Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.
4. Reducir el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:
a. Activación de los filtros de spam.
b. Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas (por ejemplo, phishing) o incidentes.
5. Utilizar las mejores prácticas de ciberseguridad disponibles:
a. Asegúrese de que todo el software antivirus, antimalware y de firmas esté actualizado.
b. Implementarlistas de aplicaciones permitidas.
c. Garantizar que las cuentas de usuario y los privilegios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas con privilegios.
d. Emplear la AMF para el mayor número posible de servicios, especialmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.
REFERENCIAS
- Mitre Att&ck
- ic3.gov
- Trendmicro
- Punto de control
- CISA
- FBI
- Crowdstrike