 Resumen: Hoy en día, las empresas son cada vez más dependientes de los servicios informáticos, ya que facilitan el acceso a la información, posibilitan las copias de seguridad y permiten llevar a cabo la consolidación de servidores.
Mientras tanto, los actores de la amenaza se han enfocado en crear herramientas maliciosas, que permitan vulnerar servicios específicos dentro de las organizaciones.
Tal es el caso del ransomware Hive, quien en los últimos días ha hecho modificaciones en sus herramientas de cifrado, con el objetivo de infringir en las organizaciones y dificultar la asistencia de investigadores a sus víctimas.
Anteriormente, Hive había estado utilizando un encriptador basado en Linux para dirigirse a los servidores VMware ESXI, sin embargo, desde hace algunos días el grupo ha estado realizando una serie de actualizaciones haciendo uso de características previamente introducidas por el ransomware BlackCat, también conocido como ALPHV.
La banda ransomware BlackCat fue la primera en eliminar las URL de negociación de Tor en su encriptador, para evitar que los investigadores penetraran en las negociaciones y recuperarán la URL de las víctimas. En su lugar, la URL se pasó como argumento de línea de comandos al momento de ejecutar el encriptador, misma técnica que el ransomware Hive ha replicado recientemente.
En su nuevo encriptador, la banda ransomware Hive le proporciona a sus víctimas un nombre de usuario y contraseña para acceder a la página de negociación Tor, sin embargo, a diferencia de otras ocasiones, estos datos son enviados como argumentos en la línea de comandos al lanzar el malware. Del mismo modo, Hive consiguió cambiar su encriptador de Golang al lenguaje de programación Rust, esto con el objetivo de hacer las muestras más eficientes y más difíciles de revertir.
De acuerdo con los investigadores, el lenguaje Rust de tipado estático y código abierto, fue diseñado para ser más seguro, eficiente y rápido, no obstante la optimización de código complica el análisis del mismo.
Dadas las actualizaciones del ransomware, Hive ha hecho prácticamente imposible recuperar las credenciales de inicio de sesión de la negociación, dificultando el trabajo de los investigadores en caso de que las organizaciones comprometidas requieran asistencia.
Dicho esto, se le recomienda a todos los administradores que estén al pendiente de sus servidores y que tomen las medidas necesarias para mitigar los posibles ataques de este tipo. Recomendaciones: Recomendaciones para prevenir un ataque Ransomware Evitar dar click en correos, enlaces o archivos sospechosos Realizar copias de seguridad constantemente Mantener el software parcheado y actualizado
En caso de que requiera conocer mayor información al respecto, puede visitar el aviso de seguridad de Trend Micro.
Referencias:
|
SÍGUENOS