Los actores de amenazas que se ocultan tras el ransomware as a service Hive (RaaS) habrían lanzado hasta la fecha ataques a más de 1.300 organizaciones en todo el mundo, consiguiendo de sus víctimas unos 100 millones de dólares en pagos de rescates.
Las cifras han sido compartidas por el FBI en un comunicado conjunto con la CISA, la agencia de Seguridad de las Infraestructuras y Ciberseguridad de EE.UU.
Las autoridades de ciberseguridad e inteligencia americanas destacan que Hive se ha dirigido a "una amplia gama de empresas y sectores de infraestructura crítica, incluyendo instalaciones gubernamentales, comunicaciones, fabricación, TIC y, especialmente, atención médica y salud pública".
"Se sabe que los actores de Hive, ya sea con el ransomware Hive u otra variante de ransomware, reinfectan las redes de las organizaciones víctimas que han restaurado su red sin llegar a pagar el rescate", alertan los dos organismos.
El aviso que se ha emitido busca dar a conocer los indicadores de compromiso (IOC) y sus tácticas, técnicas y procedimientos (TTP) descubiertos por el FBI mientras investigaba los ataques de ransomware.
El objetivo es ayudar a los defensores a detectar actividades maliciosas asociadas con los afiliados de Hive y reducir o eliminar el impacto de dichos incidentes.
Hackers a dos bandas
Hive llevaría activo desde junio de 2021 y, según se ha podido comprobar, algunos de sus miembros han trabajado de manera simultánea para Hive y el grupo de ciberdelincuentes Conti durante al menos seis meses.
El grupo tuvo su pico de actividad en julio, cuando apuntó a 26 víctimas, según los datos que maneja la firma de ciberseguridad Malwarebytes. En agosto se tomaron unas vacaciones y solo atacaron a 9, en septiembre a 14 y en octubre solo se dirigieron a un par.
Los organismos han instado a las víctimas de estos ciberataques a informar de los mismos en su oficina local del FBI o CISA, independientemente de si van a pagar el rescate o no. Esto ayudará a las fuerzas del orden público a recopilar información crítica necesaria para realizar un seguimiento de la actividad de la operación de ransomware, prevenir ataques adicionales o responsabilizar a los atacantes por sus acciones.