La pandilla de ransomware Hive se ha atribuido la responsabilidad del reciente ciberataque a Tata Power, una de las principales compañías energéticas de India y ha comenzado a filtrar datos de los empleados.
El pasado 14 de octubre la firma reconoció haber sufrido un incidente que había afectado a algunos de sus sistemas de TI, indicando oque habían tomado medidas para su recuperación y restauración. Además, afirmaban que todos los sistemas operativos críticos estaban funcionando.
Hace un par de días Hive ha incluido a Tata Power a su sitio web de fugas en la dark web, que suele usar como canal para promocionar los ataques que ha realizado y los datos robados. El grupo asegura que cifró los datos el pasado 3 de octubre, lo cual sugeriría que la energética tenía conocimiento del ataque dos semanas antes de su presentación inicial.
Según se hace eco TechCrunch, los datos filtrados incluyen información confidencial de los empleados, como números de tarjetas de identidad nacionales de Aadhaar, números de cuentas fiscales, información sobre salarios, domicilios particulares y números de teléfono. Los datos filtrados, que se publicaron en el sitio de filtraciones de Hive el 24 de octubre, también incluyen dibujos de ingeniería, registros financieros y bancarios, registros de clientes y algunas claves privadas.
"Desde nuestro punto de vista, el alcance del ataque es bastante amplio, afectando a múltiples departamentos de la empresa. Hive es un grupo de actores de amenazas que ha estado bastante activo en las últimas semanas. Después de un período en el que ha mantenido un perfil bajo, en las últimas 5 semanas, Hive ha publicado 13 víctimas, la mayoría de ellas objetivos importantes", explica Jacob Blancas, experto en ciberseguridad de Threat Intelligence Enginee.
"La actividad de Hive supone el 5,6% de los ataques que hemos detectado en 2022. Si bien esta cifra no destaca en cuanto a cantidad, cabe señalar que los objetivos han sido habitualmente empresas bastante grandes, apostando Hive por la 'calidad' frente a la cantidad de objetivos. El grupo no tiene reparos en apuntar a la infraestructura crítica, ocasionando víctimas en los sectores de salud y energía", añade. La pandilla atacó recientemente al Gobierno de Costa Rica.
Para Leith Walsh, Director, OT Strategy and Operations de Armis, "los grupos de amenazas persistentes avanzadas (APT), como la banda de ransomware Hive, continúan mostrando su deseo de interrumpir las actividades diarias de nuestras vidas apuntando a la infraestructura crítica en la que confían los ciudadanos, ya sea la entrega de energía eléctrica, servicios ambulatorios y para pacientes hospitalizados, u otros servicios básicos que damos por sentado todos los días".
Para este experto la segmentación adecuada de la infraestructura crítica, la monitorización de actividades dentro y fuera de las operaciones de OT, y tener un libro de jugadas para clasificar correctamente eventos como este son de suma importancia para localizar los ataques con el fin de detenerlos antes de que se propaguen "y para mantener a nuestros ciudadanos seguros y nuestras operaciones resilientes".
No todos han sucumbido a Hive
Algunas víctimas le han plantado cara a esta pandilla de ciberdelincuentes. Hace unos meses el Banco de Zambia respondía a Hive de una manera muy curiosa. Para burlarse de los cibermalos procedieron a publicar un enlace que contenía la foto de un miembro masculino. Además, postearon un mensaje que rezaba lo siguiente: "Chupa este pene y deja de bloquear las redes bancarias pensando que monetizarás algo. Aprende a monetizar".
El director técnico de la entidad reconoció que habían protegido los sistemas centrales del banco, con lo que no necesitaban someterse al chantaje de los ciberdelincuentes. "Así que prácticamente les dijimos dónde tenían que bajar".