El FBI ha emitido una alerta sobre el ransomware Hive después de que la pandilla paralizara las redes del Memorial Health System. Hive es un ransomware relativamente nuevo que se detectó por primera vez en junio de este año.
Ataque al Memorial Health System
- Los Departamentos de Emergencia del Memorial Health System enfrentaron interrupciones en las operaciones de TI, lo que permitió la admisión de pacientes que solo sufrían accidentes cerebrovasculares e incidentes traumáticos.
- Además, debido al ataque de ransomware , el personal de tres hospitales (Marietta Memorial, Selby y Sistersville General Hospital) se vio obligado a utilizar papel mientras se restauraban sus sistemas.
Sobre la alerta
Según el FBI , el grupo de ransomware ha estado utilizando correos electrónicos de phishing cargados de archivos adjuntos maliciosos para obtener acceso a las redes de destino.
- El grupo Hive se ha dirigido al menos a 28 organizaciones , y la mayoría de sus víctimas pertenecen al sector de la salud.
- Daña los sistemas y las copias de seguridad y luego lleva a las víctimas a un enlace con un chat en vivo con las personas detrás del ataque.
- La mayoría de las víctimas enfrentan un plazo de rescate de dos a seis días. Este plazo de dos a seis días puede ampliarse aún más negociando con los atacantes.
Según el FBI, los atacantes han llamado manualmente a algunas víctimas para presionarlas para que paguen el rescate.
Modus operandi
Los actores de Hive usan RDP para moverse lateralmente dentro de la red.
- Después de penetrar con éxito en la red, los atacantes roban información y cifran los archivos objetivo. Los archivos cifrados se renombran con la extensión .hive.
- Además, el ransomware Hive busca procesos relacionados con la copia de seguridad, antivirus / software espía y copia de archivos, y finaliza estos procesos para el cifrado de archivos.
- Dejan una nota de rescate en cada directorio infectado, que proporciona detalles sobre cómo obtener el software de descifrado.
Conclusión
La advertencia del FBI sobre el grupo de ransomware Hive recomienda hacer una copia de seguridad de los datos críticos fuera de línea y en la nube. Insta a las organizaciones a utilizar 2FA y contraseñas seguras, incluso para los servicios de acceso remoto, siempre que sea posible. Además, se debe tener a mano un plan de respuesta en caso de ataques de ransomware.