Los actores de amenazas detrás del esquema Hive ransomware-as-a-service (RaaS) han lanzado ataques contra más de 1,300 empresas en todo el mundo, lo que le generó a la pandilla $ 100 millones en pagos ilícitos a partir de noviembre de 2022.
«Hive ransomware se ha dirigido a una amplia gama de empresas y sectores de infraestructura crítica, incluidas instalaciones gubernamentales, comunicaciones, fabricación crítica, tecnología de la información y, especialmente, atención médica y salud pública (HPH)», las autoridades de inteligencia y ciberseguridad de EE. UU. dijo en una alerta.
Activa desde junio de 2021, la operación RaaS de Hive involucra una combinación de desarrolladores, que crean y administran el malware, y afiliados, que son responsables de realizar los ataques en las redes de destino, a menudo comprando el acceso inicial de los intermediarios de acceso inicial (IAB).
En la mayoría de los casos, obtener un punto de apoyo implica la explotación de las fallas de ProxyShell en Microsoft Exchange Server, seguido de la adopción de medidas para finalizar los procesos asociados con los motores antivirus y las copias de seguridad de datos, así como eliminar los registros de eventos de Windows.
El actor de amenazas, que recientemente actualizó su malware a Rust como medida de evasión de detección, también es conocido por eliminar las definiciones de virus antes del cifrado.
«Se sabe que los actores de Hive reinfectan, ya sea con Hive ransomware u otra variante de ransomware, las redes de las organizaciones víctimas que han restaurado su red sin hacer un pago de rescate», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Según los datos compartidos por la empresa de ciberseguridad Malwarebytes, Hive comprometió a unas siete víctimas en agosto de 2022, 14 en septiembre y otras dos entidades en octubre, lo que marca una caída en la actividad desde julio, cuando el grupo apuntó a 26 víctimas.