He aquí por qué el FBI emitió una advertencia sobre el ransomware Hive
Varias bandas de ransomware se dirigen a industrias específicas y exigen un rescate para evitar la interrupción de los servicios. Si bien esto es una pesadilla para la atención médica, ha surgido la banda de ransomware Hive, que ha llevado a cabo varios ataques solo este año. Es un ejemplo particularmente desagradable de ransomware.
Y, para abordar la gravedad de la preocupación, el FBI emitió una declaración pública con información técnica sobre el ransomware Hive. Entonces, ¿cómo funciona el ransomware Hive? ¿Y cómo puedes protegerte?
¿Qué es Hive Ransomware?
El ransomware Hive fue el centro de atención en junio de 2021. A diferencia de otros ataques de ransomware, se cree que se trata de un ransomware basado en afiliados. En otras palabras, utiliza un modelo de ransomware como servicio.
Cualquier delincuente podría realizar ataques de ransomware y beneficiarse de ellos utilizando este modelo de negocio sin saber cómo funciona todo. Sí, sin conocer una sola línea de código, un atacante puede comenzar a realizar ataques de ransomware.
El FBI advierte sobre el ransomware Hive
Recientemente, el grupo de ransomware llegó al Memorial Health System el 15 de agosto, lo que los obligó a cancelar cirugías y desviar a los pacientes por un tiempo.
Y así, el FBI publicó una alerta para que el público sepa qué buscar y esté atento al notorio grupo de ransomware Hive.
Así es como funciona Hive Ransomware
El ransomware Hive aplica una amplia variedad de tácticas, técnicas y procedimientos (TTP) para garantizar que el ataque sea efectivo.
Se necesita el enfoque tradicional del phishing para afectar un sistema, donde puede esperar un archivo malicioso adjunto en un correo electrónico. El archivo puede parecer inofensivo, pero el ransomware llega a su sistema y comienza a funcionar tan pronto como accede a él.
El ransomware Hive también escanea su sistema en busca de cualquier proceso relacionado con la realización de copias de seguridad, antivirus o cualquier otra protección de seguridad y copia de archivos. Y luego termina todos esos procesos para hundir los mecanismos de defensa.
Una vez infectado, cifra los archivos en la red y exige un rescate junto con una advertencia para filtrar los archivos a su portal "HiveLeaks", al que solo puede acceder a través del navegador Tor.
Puede detectar los archivos afectados con una extensión .hive . El ransomware Hive también desliza un script .bat en el directorio afectado para limpiar los archivos una vez que se completa el cifrado.
Después de la limpieza de sus archivos originales, el ransomware también suelta un segundo script shadow.bat para limpiar cualquier sombra o copia de seguridad de sus datos encontrados.
Todo sucede sin avisar al usuario. Por lo tanto, solo se dará cuenta de su presencia cuando se encuentre con un directorio con archivos cifrados .hive . Además, notará un archivo de texto que le indica cómo descifrar los archivos. Esto lo llevará a un enlace del departamento de ventas, accesible a través del navegador Tor, que lo conectará con los atacantes de ransomware para un chat en vivo.
Luego, tendrá de dos a seis días para pagar el rescate. Podrían extenderlo si está en el proceso de negociar con ellos.
Cómo mantenerse a salvo del ransomware Hive
El ransomware Hive se basa en correos electrónicos de phishing para engañar a los usuarios con software legítimo que podría ser esencial para su empresa. Por ejemplo, se le puede recomendar que descargue un archivo ejecutable 7zip (software legítimo) y se vea afectado por el ransomware.
Los atacantes también parecen utilizar servicios de intercambio de archivos como MEGA, SendSpace y otros cambios similares mientras hacen que el enlace del archivo parezca inofensivo y confiable.
Así que esté atento a los enlaces sospechosos. También debe verificar y confirmar antes de descargar cualquier archivo ejecutable a su computadora. No hagas clic en nada de lo que no estés 100% seguro.
Además de eso, debe utilizar la nube o una unidad de almacenamiento separada (no conectada a su red) para hacer una copia de seguridad de todos sus datos críticos y evitar pagar el rescate.