El grupo Hunters International coincide con el ransomware Hive en ataques a sistemas Windows, Linux y ESXi.
Publicado enAmenazas

El grupo Hunters International coincide con el ransomware Hive en ataques a sistemas Windows, Linux y ESXi.

No hay comentarios

Hunters International: Conexiones técnicas con el ransomware Hive y su impacto en la ciberseguridad

En octubre de 2023, surgió una nueva operación de ransomware denominada “Hunters International”, la cual presenta vínculos significativos con el grupo Hive ransomware, conocido por sus ataques sofisticados y su modelo de negocio basado en RaaS (Ransomware-as-a-Service). Este artículo analiza las características técnicas, similitudes con Hive y las implicaciones para la ciberseguridad.

Orígenes y conexión con Hive ransomware

Hunters International apareció poco después del desmantelamiento parcial de Hive ransomware por parte de las autoridades internacionales. Los investigadores han identificado superposiciones clave:

  • Código compartido: Análisis de muestras de malware revelan similitudes en los módulos de cifrado, especialmente el uso de algoritmos como AES-256 y RSA-4096.
  • Tácticas, técnicas y procedimientos (TTPs): Ambos grupos emplean métodos similares para la exfiltración de datos, incluyendo el uso de herramientas como Megalodon y ExMatter.
  • Infraestructura: Dominios y servidores C2 (Command and Control) previamente asociados a Hive han sido reutilizados por Hunters International.

Fuente original

Características técnicas del malware

El ransomware de Hunters International presenta varias particularidades técnicas:

  • Doble extorsión: Combina cifrado de archivos con amenazas de filtrar datos robados, un modus operandi heredado de Hive.
  • Evasión de defensas: Utiliza técnicas como la inyección de procesos legítimos (Process Hollowing) para evadir soluciones EDR/XDR.
  • Automatización: Incluye scripts PowerShell y BAT para desactivar copias de seguridad y servicios críticos antes del cifrado.

Implicaciones para la ciberseguridad

El resurgimiento de tácticas asociadas a Hive bajo un nuevo nombre plantea desafíos:

  • Persistencia de grupos ransomware: Demuestra cómo estas organizaciones pueden reorganizarse rápidamente tras intervenciones legales.
  • Necesidad de monitoreo continuo: Las similitudes en el código requieren actualizar firmas de detección y reglas de correlación en herramientas SIEM/SOAR.
  • Protección de datos: Refuerza la importancia de estrategias como el modelo 3-2-1 para backups (3 copias, 2 medios diferentes, 1 fuera del sitio).

Recomendaciones de mitigación

Para defenderse contra esta amenaza, se recomienda:

  • Implementar controles de acceso estrictos (Zero Trust, MFA).
  • Actualizar sistemas de detección con reglas YARA/Sigma para patrones conocidos.
  • Monitorear tráfico saliente inusual que pueda indicar exfiltración de datos.
  • Capacitar equipos en reconocimiento de técnicas de ingeniería social, vector inicial común.

La aparición de Hunters International subraya la naturaleza evolutiva de las amenazas ransomware y la necesidad de adoptar enfoques proactivos en ciberseguridad.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta