Alerta de Seguridad
| TLP | Blanco |
|---|---|
| Tipo de incidente | Ransomware |
| Categoría | Código Malicioso |
| Nivel de peligrosidad | Critico |
Detalles de la Alerta
El Equipo Nacional de Respuesta a Incidentes CSIRT- RD, comparte los indicadores de compromiso conocidos del Ransomware Hive, el cual funciona a través de Phishing con archivos maliciosos adjuntos y RDP para movimiento lateral.
Indicadores de Compromiso (IoC)
| Hashes | • b5045d802394f4560280a7404af69263 • 04FB3AE7F05C8BC333125972BA907398 • BEE9BA70F36FF250B31A6FDF7FA8AFEB |
|---|---|
| Soluciones de Dominio DNS |
|
| Ejecutables | • Winlo.exe • 7zG.exe • Winlo_dump_64_SCY.exe |
Funcionamiento
El ransomware Hive fue visto por primera vez en el 2021, este emplea una gran variedad de tácticas, técnicas y procedimientos (TTP), haciendo que las defenzas sean más fáciles de vadir. Hive Ransomware utiliza el Phishing con archivos maliciosos adjuntos como entrada y luego utiliza RDP para realizar movimiento lateral. Durante el proceso de encriptado, los archivos afectados se renombran siguiendo este patrón: nombre de archivo original, cadena de caracteres aleatorios y extensión “.hive”
Recomendaciones
- Realizar el análisis correspondiente para el bloqueo a los indicadores de compromiso (IoC) citados en este documento.
- Recomendamos tener precaución al momento de acceder a enlaces suministrados mediante medios de mensajería.
- Mantener actualizadas las plataformas y sistemas de información según las recomendaciones del proveedor y en especial priorizar las actualizaciones para aplicaciones externas y servicios de acceso remoto.
- Realizar contacto inmediato con el Equipo Nacional de Respuesta a Incidentes Ciberneticos (CSIRT-RD), a través del correo incidentes@csirt.gob.do, para reportar cualquier acción sospechosa o posible incidente de ciberseguridad antes de realizar una acción.
- Realizar campañas de concientización periódica a todos los usuarios de la institución.
