Hive, el ransomware de los 100 millones de dólares
Hive ha conseguido extorsionar a más de 1300 personas en todo el mundo consiguiendo aproximadamente más de 100 millones de dólares por los rescates solicitados.
Ransomware-as-a-service (RaaS) es el modelo utilizado por Hive, esto quiere decir que es un ransomware que es programado, mantenido y actualizado contantemente, luego los ciberdelincuentes utilizan ese malware para realizar la extorsión con un ransomware que se mantiene actualizado.
Forma de actuar
La forma de acceso que usaron los actores de Hive a través de factores como el Protocolo de escritorio remoto(RDP), redes privadas virtuales (VPN) y otros protocolos de conexión remota. Los actores de Hive usaron la vulnerabilidad CVE-2020-12812 para evadir la autenticación multifactor (MFA) para obtener acceso a los servidores FortiOS. Esta vulnerabilidad permite que un actor cibernético malintencionado inicie sesión sin solicitar el segundo factor de autenticación del usuario (FortiToken) cuando el actor cambia las mayúsculas y minúsculas del nombre de usuario.
Otras de las técnicas utilizadas por los actores para obtener un acceso inicial es a través de correos electrónico de phishing con archivos adjuntos maliciosos intentando explotar vulnerables contra servidores de Microsoft Exchange. Las siguientes vulnerabilidades fueron explotadas:
- CVE-2021-31207: vulnerabilidad de omisión de la característica de seguridad de Microsoft Exchange Server
- CVE-2021-34473: vulnerabilidad de ejecución remota de código de Microsoft Exchange Server
- CVE-2021-34523: vulnerabilidad de escalada de privilegios de Microsoft Exchange Server
Una vez han obtenido el acceso, el ransomware Hive realiza las siguientes técnicas para intentar evadir la detención, Hive busca los procesos de copias de seguridad , el antivirus/antispyware y la copia de archivos y finaliza todos esos procesos, luego detiene los servicios de shadow copy y remueve todas las copias de shadow copies a través de vssadmin por línea de comandos o por PowerShell, elimana los Windows event logs, especialmente los de seguridad, sistema y aplicaciones.
Proceso de encriptado
Durante el proceso de encriptado, se crea un archivo en el directorio raíz C:\ o /raíz/ llamado *.key. Este archivo es necesario para comenzar a cifrar. Cuando comienza a cifra, Hive deja una nota de rescate (HOW_TO_DECRYPT.txt) en cada directorio afectado y añadiendo la extensión *.key en cada archivo cifrado.
En este momento comienza la extorsión amenazando a la víctima indicando que si no se realiza el pago divulgarán los datos de la organización.
Indicadores de compromiso
Los siguientes indicadores de compromiso (IOC) fueron sacados en varios ataques realizados por actores de Hive. Estos indicadores pueden ayudar para identificar este ataque en vuestro sistema, añádalo a los sistemas de seguridad perimetrales.
Archivo IOCs conocidos |
HOW_TO_DECRYPT.txt es |
*.key normalmente en el directorio raíz, C:\ or /root |
hive.bat |
shadow.bat |
asq.r77vh0[.]pw – el servidor aloja un archivo HTA malicioso |
asq.d6shiiwz[.]pw -Servidor al que se hace referencia enejecución maliciosa regsvr32 |
asq.swhw71un[.]pw – el servidor aloja un archivo HTA malicioso |
asd.s7610rir[.]pw – el servidor aloja un archivo HTA malicioso |
Windows_x64_encrypt.dll |
Windows_x64_encrypt.exe |
Windows_x32_encrypt.dll |
Windows_x32_encrypt.exe |
Linux_encrypt |
Esxi_encrypt |
IOCs de procesos registrados |
wevtutil.exe cl system |
wevtutil.exe cl security |
wevtutil.exe cl application |
vssadmin.exe delete shadows /all /quiet |
wmic.exe SHADOWCOPY /nointeractive |
wmic.exe shadowcopy delete |
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures |
bcdedit.exe /set {default} recoveryenabled no |
IOCs de IPs | |
84.32.188[.]57 | 84.32.188[.]238 |
93.115.26[.]251 | 185.8.105[.]67 |
181.231.81[.]239 | 185.8.105[.]112 |
186.111.136[.]37 | 192.53.123[.]202 |
158.69.36[.]149 | 46.166.161[.]123 |
108.62.118[.]190 | 46.166.161[.]93 |
185.247.71[.]106 | 46.166.162[.]125 |
5.61.37[.]207 | 46.166.162[.]96 |
185.8.105[.]103 | 46.166.169[.]34 |
5.199.162[.]220 | 93.115.25[.]139 |
5.199.162[.]229 | 93.115.27[.]148 |
89.147.109[.]208 | 83.97.20[.]81 |
5.61.37[.]207 | 5.199.162[.]220 |
5.199.162[.]229; | 46.166.161[.]93 |
46.166.161[.]123; | 46.166.162[.]96 |
46.166.162[.]125 | 46.166.169[.]34 |
83.97.20[.]81 | 84.32.188[.]238 |
84.32.188[.]57 | 89.147.109[.]208 |
93.115.25[.]139; | 93.115.26[.]251 |
93.115.27[.]148 | 108.62.118[.]190 |
158.69.36[.]149/span> | 181.231.81[.]239 |
185.8.105[.]67 | 185.8.105[.]103 |
185.8.105[.]112 | 185.247.71[.]106 |
186.111.136[.]37 | 192.53.123[.]202 |