La Caja Costarricense de Seguro Social (CCSS) sufrió un ciberataque la madrugada de este martes, obligando a la institución a apagar todos los sistemas informáticos y forzando a sus hospitales a volver a los expedientes de papel para atender pacientes, mientras se determina el nivel de afectación y una posible solución.
En horas de la madrugada algunas de las impresoras de la institución empezaron a imprimir una nota de rescate estandarizada utilizada por Hive Ramsonware Group, el cual indica que la red de la institución fue vulnerada y todos los datos fueron encriptados: datos personales, reportes financieros y otros documentos importantes, listos para ser filtrados en Internet en caso de que la Caja no adquiera un programa informático propiedad de los cibercriminales para recuperar sus sistemas.
La nota de rescate advierte a la Caja de no modificar, renombrar o borrar los archivos afectados, pues caso contrario, los datos no podrán desencriptarse; así como tampoco reportar el ataque a la policía o al FBI; no contratar una compañía de recuperación de archivos y no negarse a comprar el programa, bajo amenaza de publicar todo lo sustraído.
De acuerdo con una alerta del Buró Federal de Investigaciones (FBI, por sus siglas en Inglés), Hive Ransomware Group apareció por primera vez en junio del año 2021 y probablemente funciona como un ransomware basado en afiliados, emplea una amplia variedad de tácticas, técnicas y procedimientos (TTP), lo que crea desafíos importantes para la defensa y la mitigación. Hive utiliza múltiples mecanismos para comprometer las redes comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.
Según el FBI, después de comprometer la red de una víctima, los actores del ransomware Hive extraen los datos y cifran archivos en la red; y dejan una nota de rescate en cada directorio afectado dentro del sistema de la víctima, que proporciona instrucciones sobre cómo comprar el software de descifrado. La nota de rescate también amenaza con filtrar datos de víctimas exfiltrados en el sitio "HiveLeaks" de acceso en la red profunda a través del navegador Tor.
Según el análisis de la agencia federal estadounidense, el ransomware de Hive busca los procesos de las computadoras y sistemas relacionados con copias de seguridad, antivirus/antispyware y copia de archivos y los obliga a finalizar, para facilitar el cifrado de archivos. Asimismo, el ransomware elimina las copias de seguridad sin notificar a la víctima .
Algunas víctimas informaron al FBI haber recibido llamadas telefónicas de actores de Hive solicitando el pago por sus archivos. El plazo inicial para el pago fluctúa entre 2 y 6 días, pero los criminales han prolongado el plazo en respuesta al contacto de la víctima.
Hospitales, blancos predilectos de los cibercriminales de Hive
En agosto de 2021, el sitio especializado ZDNet reveló que Hive había atacado al menos 28 organizaciones de salud en los Estados Unidos, afectando clínicas y hospitales a lo largo de Ohio y Virginia del Oeste.
El Memorial Healthcare System sufrió un ataque en agosto de 2021, obligando a sus hospitales a usar expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados.
La organización terminó pagando el rescate para recuperar el acceso a sus sistemas.
En diciembre de 2021 el grupo de cibercriminales reveló haber atacado 355 compañías a lo largo de seis meses, la gran mayoría en los Estados Unidos. De esas, al menos 104 terminaron pagando el rescate por recuperar sus sistemas.
En febrero de 2022 cuatro investigadores de la Universidad de Kookmin en Corea del Sur descubrieron una vulnerabilidad en el algoritmo de cifrado del ransomware que permitía obtener la clave maestra y recuperar la información secuestrada. Se desconoce si el archivo malicioso fue actualizado posteriormente para cubrir esa vulnerabilidad.
El sitio especializado TechTarget afirmó que Hive Ransomware Group se comunica en ruso, pero que no hay información sobre la localización de sus operaciones
Recientes ataques
La Comunidad de Navarra en España fue atacada por Hive el 18 de mayo anterior, obligando a 179 entidades a volver a la era del papel, incluidos ayuntamientos, consejos y federaciones. Hasta esta semana la Asociación Navarra de Informática Municipal (Animsa) comenzó el restablecimiento de los servicios de página web, correo electrónico y centro de servicio remoto de las entidades afectadas.
El Banco Central de Zambia también sufrió un ataque el 9 de mayo pero se negó a pagar el rescate. Sus funcionarios ingresaron al chat que los cibercriminales indican en la nota de rescate para adquirir el programa de recuperación y le enviaron a los extorsionadores un enlace de una "foto polla" (dick pick) con el texto: "Chúpate esta verga y deja de bloquear redes bancarias pensando que monetizarás algo, aprende a monetizar".
De acuerdo con una cuenta de Twitter que da cuenta de los ataques de HiveLeak; ayer fue atacada Caracol TV de Colombia, y un día antes la aerolínea Travira.
Evidencia vincula a Hive con Conti Group, pero criminales lo niegan
Sitios especializados en ciberseguridad reportaron semanas atrás que, tras el anuncio de una millonaria recompensa del FBI para arrestar y encarcelar a personas vinculadas a Conti Group, el grupo cibercriminal responsable del ataque informático masivo al Gobierno de Costa Rica desde hace mes y medio, los criminales de esa organización empezaron a migrar a otras más pequeñas o fundaron algunas propias y que Conti había empezado un lento proceso de cierre de operaciones.
Bleeping Computer LLC reportó que algunos de sus hackers migraron a organizaciones como Hive, HelloKitty, AvosLocker, BlackCat, BlackByte y otras. Sin embargo, Hive Ramsomware Group ha rechazado tener vinculación con Conti, pese a que una vez iniciado el proceso de cierre de operaciones y sus hackers llegaron a ese otro grupo criminal, la organización empezó la táctica de publicar los datos filtrados en la red profunda, tal y como lo hacía Conti.
"AdvIntel identificó y confirmó con un alto nivel de certeza que Conti ha estado trabajando con HIVE durante más de medio año, al menos desde noviembre de 2021. Hemos identificado evidencia ampliada de HIVE utilizando activamente tanto los accesos de ataque iniciales proporcionados por Conti como los servicios de los pentesters de Conti", dijo a BleepingComputer Yelisey Boguslavskiy de Advanced Intel.
Las mismas personas trabajaban tanto para Conti como para HIVE, como se ve en las mismas víctimas que aparecen en los blogs de vergüenza de HIVE y Conti simultáneamente. HIVE actualmente sirve como una de las raíces de escape de la negociación para Conti. Los miembros de Conti continúan las negociaciones con las víctimas que atacaron anteriormente bajo la marca HIVE. Esto les da la oportunidad de recibir un pago, ya que, a diferencia de Conti, HIVE no está asociado con el apoyo directo de la invasión rusa de Ucrania, a pesar de que que el rescate pagado a HIVE probablemente sea recibido por las mismas personas dentro de Conti que reclamaron la alineación colectiva del grupo con el gobierno ruso.