NUEVA ACTUALIZACIÓN DEL RANSOMWARE HIVE

18/11/2022

BOLETÍN NRO 2022-676

Recientemente se ha detectado que la pandilla Hive desplegará cargas útiles de ransomware adicionales en las redes de las víctimas que se nieguen a pagar el rescate.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA   Los ciberdelincuentes detrás del ransomware Hive, reinfectan las redes de las organizaciones que decidieron no pagar por desencriptar los archivos. La lista de organizaciones victimas de esta amenaza, son de una amplia gama de industrias y sectores de infraestructura critica, como instalaciones gubernamentales, comunicaciones y tecnología de la información, con un enfoque en entidades de salud y salud pública (HPH). Hive es una operación de Ransomware-as-a-Service (RaaS) activa desde al menos junio de 2021, y se sabe que algunos de sus miembros han trabajado para Hive y la pandilla de ciberdelincuencia Conti simultáneamente durante al menos seis meses, a partir de noviembre de 2021. Para más información sobre este ransomware, consultar los siguientes boletines: Boletín SecureSoft-Nro. 2022-379 Boletín SecureSoft-Nro. 2022-160 Boletín SecureSoft-Nro. 2022-211 Boletín SecureSoft-Nro. 2022-047 Indicadores de Compromiso IP 108[.]62[.]118[.]190 158[.]69[.]36[.]149 181[.]231[.]81[.]239 185[.]247[.]71[.]106 185[.]8[.]105[.]103 185[.]8[.]105[.]112 185[.]8[.]105[.]67 186[.]111[.]136[.]37 192[.]53[.]123[.]202 46[.]166[.]161[.]123 46[.]166[.]161[.]93 46[.]166[.]162[.]125 46[.]166[.]162[.]96 46[.]166[.]169[.]34 5[.]199[.]162[.]220 5[.]199[.]162[.]229 5[.]61[.]37[.]207 83[.]97[.]20[.]81 84[.]32[.]188[.]238 84[.]32[.]188[.]57 89[.]147[.]109[.]208 93[.]115[.]25[.]139 93[.]115[.]26[.]251 93[.]115[.]27[.]148 Dominio privatlab[.]com privatlab[.]net ufile[.]io HASH MD5: 4fdabe571b66ceec3448939bfb3ffcd1 SHA256: 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: FBI: Hive ransomware extorted $100M from over 1,300 victims
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​