NUEVA ACTIVIDAD DEL RANSOMWARE HIVE

10/01/2023

BOLETÍN NRO 2023-018

Recientemente el grupo Hive acaba de filtrar datos robados a una compañía de salud llamada Consulate Health Care(CHC), en donde según investigadores se pudo conocer que la información contenía datos sensibles de clientes y empleados.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

El grupo filtró inicialmente muestras de los datos robados como prueba del ataque, afirmando haber robado contratos, acuerdos de confidencialidad y otros documentos de acuerdos, información privada de la empresa (presupuestos, planes, evaluaciones, ciclo de ingresos, relaciones con inversores, estructura de la empresa, etc.), información de los empleados (números de la seguridad social, correos electrónicos, direcciones, números de teléfono, fotos, información de seguros, pagos, etc.) e información de los clientes (historiales médicos, tarjetas de crédito, correos electrónicos, números de la seguridad social, números de teléfono, seguros, etc.).

La información filtrada se pudo conocer en la dark web, en donde investigadores de seguridad indicaron que los ciberdelincuentes habían filtrado 550 GB de datos robados del Consulate Health Care, incluidos datos de identificación personal de clientes y empleados. Esto pudo haberse debido a que las negociaciones fracasaron y la banda del ransomware optó por filtrar todos los datos sin esperar al plazo previsto.

Según una firma de seguridad, la empresa puso fin a las negociaciones después de varias semanas porque no podía permitirse ni siquiera la reducida cantidad exigida, ya que su seguro no cubriría ningún pago de rescate.

En un informe CHC destaca que la causa principal de la filtración de datos fue debido a un ataque contra unos de sus proveedores de tecnología, pero los ciberdelincuentes indicaron que no habían atacado a ningún proveedor del CHC, sino que habían aprovechado una vulnerabilidad en la red de la compañía de salud.

Indicadores de Compromiso

Hash

MD5: 9164496918c431af3af6b2bc198d08b5

SHA-256:4bc60d512816e33bfa5c6a43ee4f9f60eae20c19ecb29c896d2664b0ed225c01

MD5: ca1c8c3c380d1ea308b551eb39aefef6

SHA-256:f78fdb894624b1388c1c3ec1600273d12d721da5171151d6606a625acf36ac30

MD5: 88f23483dbef369b3e8986f9864a6b05

SHA-256:a0a87db436f4dd580f730d7cbe7df9aa7d94a243aab1e600f01cde573c8d10b8

MD5: feb114461d4a4034a940db9ea46bc219

SHA-256:4d7e2b3eeb7958a60f9ac7a572cb2c560504f11dbd656bcfd068685b69214508

MD5: 4e70adee51ccfbdacacaeeecb7a377aa

SHA-256:2790fbc25dae73ea4526ea5e39baf5bc9e44947258b05f43a01ec71f118e9bcb

MD5: 5f16d6f56e2588bc1bda3429adb0d3a0

SHA-256:e889461b4a93fa62b03d283369cee78d914089e1e1ea502a6ca3d8107ac084f7

MD5: 16562c0e0ec69811746adbb51c8527ae

SHA-256:985c20ab57daa2d8135833f83bb48aebbaee96082dabed5e78329b9fe0b902d7

MD5: a8931be9fd0971dac67dafd19b37fd94

SHA-256:3d984c6d23e6b1440dbc5a3c717ce6b068318e625cedc61b3efdcada82d6861f

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Hive Ransomware gang leaked 550 GB stolen from Consulate Health Care
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​