Alerta de Seguridad

 

TLP Blanco
Tipo de incidente Ransomware
Categoría Código Malicioso
Nivel de peligrosidad Critico

Detalles de la Alerta

El Equipo Nacional de Respuesta a Incidentes CSIRT- RD, comparte los indicadores de compromiso conocidos del Ransomware Hive, el cual funciona a través de Phishing con archivos maliciosos adjuntos y RDP para movimiento lateral.

Indicadores de Compromiso (IoC)

Hashes • b5045d802394f4560280a7404af69263
• 04FB3AE7F05C8BC333125972BA907398
• BEE9BA70F36FF250B31A6FDF7FA8AFEB
Soluciones de Dominio DNS
  • http[:]//hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd[.]onion
  • http[:]//hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd[.]onion
Ejecutables •  Winlo.exe
•  7zG.exe
•  Winlo_dump_64_SCY.exe

Funcionamiento

El ransomware Hive fue visto por primera vez en el 2021, este emplea una gran variedad de tácticas, técnicas y procedimientos (TTP), haciendo que las defenzas sean más fáciles de vadir. Hive Ransomware utiliza el Phishing con archivos maliciosos adjuntos como entrada y luego utiliza RDP para realizar movimiento lateral. Durante el proceso de encriptado, los archivos afectados se renombran siguiendo este patrón: nombre de archivo original, cadena de caracteres aleatorios y extensión “.hive”

Recomendaciones

  • Realizar el análisis correspondiente para el bloqueo a los indicadores de compromiso (IoC) citados en este documento.
  • Recomendamos tener precaución al momento de acceder a enlaces suministrados mediante medios de mensajería.
  • Mantener actualizadas las plataformas y sistemas de información según las recomendaciones del proveedor y en especial priorizar las actualizaciones para aplicaciones externas y servicios de acceso remoto.  
  • Realizar contacto inmediato con el Equipo Nacional de Respuesta a Incidentes Ciberneticos (CSIRT-RD), a través del correo incidentes@csirt.gob.do, para reportar cualquier acción sospechosa o posible incidente de ciberseguridad antes de realizar una acción.
  • Realizar campañas de concientización periódica a todos los usuarios de la institución. 

Descargar alerta en Formato PDF

Ir al contenido