Un informe reciente ha revelado que Hive Ransomware-as-a-Service (RaaS) está expandiendo agresivamente sus operaciones y ha apuntado a cientos de organizaciones desde su primera aparición en junio. Los investigadores de Group-IB obtuvieron acceso al panel de administrador del ransomware Hive. Una investigación más profunda en este panel ha revelado varios detalles interesantes sobre las víctimas […]
Un informe reciente ha revelado que Hive Ransomware-as-a-Service (RaaS) está expandiendo agresivamente sus operaciones y ha apuntado a cientos de organizaciones desde su primera aparición en junio.
Los investigadores de Group-IB obtuvieron acceso al panel de administrador del ransomware Hive. Una investigación más profunda en este panel ha revelado varios detalles interesantes sobre las víctimas y las operaciones del grupo.
Los investigadores revelaron que el ransomware Hive se ha dirigido a más de 350 organizaciones en los últimos cuatro meses, lo que resulta ser alrededor de tres víctimas por día.
El sitio de filtración del grupo (diferente del panel de administración) enumera 55 organizaciones, lo que indica el número de víctimas que no pagaron el rescate. Esto significa que una gran cantidad de víctimas probablemente hayan pagado el rescate para evitar ser incluidas en la lista.
El sitio de la filtración revela además que, si bien la mayoría de las víctimas que no pagan son organizaciones pequeñas o medianas, el grupo también se ha dirigido a varias empresas gigantes.
Se estima que el grupo ha ganado millones de dólares en los últimos meses. Solo en octubre y noviembre, el actor de amenazas obtuvo al menos $ 6.5 millones en ingresos.
A medida que los investigadores profundizaron en el panel de administración de Hive, proporcionaron varios conocimientos adicionales sobre sus operaciones.
Los desarrolladores han hecho un gran esfuerzo para que RaaS sea conveniente para los afiliados. Tanto los paneles de administración como el sitio de filtraciones son portales basados en API, algo raro en las actividades maliciosas.
Los afiliados pueden usar la plataforma para generar una nueva versión de malware en solo 15 minutos.
Pueden ver la cantidad total que ganaron y las víctimas que pagaron o no pagaron el rescate.
Además, permite negociar con las víctimas de manera transparente, donde todo el chat entre la víctima y los administradores es visible para los afiliados.
El malware Joker está reapareciendo en acción y esta vez fue visto en una aplicación móvil llamada Color Message. El malware ya se había dirigido a más de 500.000 usuarios antes de ser eliminado de Play Store.
Las vulnerabilidades de seguridad en Microsoft Teams podrían permitir a un atacante falsificar vistas previas de enlaces, filtrar direcciones IP e incluso acceder a servicios internos.