{"id":3354,"date":"2022-08-30T19:54:20","date_gmt":"2022-08-31T00:54:20","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3354"},"modified":"2022-09-02T16:33:45","modified_gmt":"2022-09-02T21:33:45","slug":"operacion-pulpo-rojo-campana-de-malware-dirigida","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/operacion-pulpo-rojo-campana-de-malware-dirigida\/","title":{"rendered":"Operaci\u00f3n Pulpo Rojo y Hive: malware dirigido y ransomware de triple extorsi\u00f3n"},"content":{"rendered":"\n

Una campa\u00f1a de malware dirigida a organizaciones de alto perfil que se llev\u00f3 adelante entre junio y julio de 2022, fue reconocida por el equipo de investigaci\u00f3n de ESET Latinoam\u00e9rica. La campa\u00f1a denominada Operaci\u00f3n Pulpo Rojo<\/strong>, registr\u00f3 actividad en varios pa\u00edses de Am\u00e9rica Latina, pero de acuerdo a los sistemas de ESET se ha concentrado inicialmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compa\u00f1\u00edas privadas de distintas industrias<\/strong>.<\/p>\n\n\n\n

El malware final que intentaban distribuir la campa\u00f1a era el conocido troyano de acceso remoto (RAT) REMCOS<\/strong>. <\/p>\n\n\n\n

\"\"<\/a>
https:\/\/breakingsecurity.net\/remcos\/<\/figcaption><\/figure>\n\n\n\n

Si bien REMCOS<\/strong> es un software leg\u00edtimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace algunos a\u00f1os viene siendo utilizado tambi\u00e9n por cibercriminales en distintas campa\u00f1as maliciosas que buscan espiar y robar informaci\u00f3n<\/a> de los equipos de sus v\u00edctima.<\/p>\n\n\n\n

\"\"<\/a>
Pa\u00edses que han sido afectados<\/strong><\/figcaption><\/figure>\n\n\n\n

<\/a><\/p>\n\n\n\n

Los operadores detr\u00e1s de Operaci\u00f3n Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus c\u00f3digos maliciosos, como Google Drive<\/strong> o la plataforma Discord<\/a>, pero se destac\u00f3 por el uso de diferentes t\u00e9cnicas para evitar ser detectados<\/strong>, ya sea por una soluci\u00f3n de seguridad, como tambi\u00e9n por una v\u00edctima que vea un comportamiento an\u00f3malo en su equipo.<\/p>\n\n\n\n

Correos de phishing que utiliza la campa\u00f1a<\/h2>\n\n\n\n

La forma de infectar a las v\u00edctimas es a trav\u00e9s de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscal\u00eda General del Estado de Ecuador, pero tambi\u00e9n detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.<\/p>\n\n\n\n

\"\"<\/a>
Imagen 1. Correo de phishing<\/strong><\/figcaption><\/figure>\n\n\n\n

Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que est\u00e1 protegido con contrase\u00f1a. En el ejemplo que vemos a continuaci\u00f3n, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la v\u00edctima abre este supuesto archivo Word desencadena el proceso de infecci\u00f3n, el cual consiste en dos etapas, que termina descargando en el equipo de la v\u00edctima el RAT REMCOS<\/strong>.<\/p>\n\n\n\n

\n\n\n\n

Ransomware multiprop\u00f3sito de triple extorsi\u00f3n<\/h2>\n\n\n\n

Seg\u00fan el an\u00e1lisis de la agencia federal estadounidense, el ransomware de Hive <\/strong>est\u00e1 escalando su poder de ataque este a\u00f1o. Hive Ransomware Group apareci\u00f3 por primera vez en junio del a\u00f1o 2021<\/strong> y funciona como un ransomware basado en afiliados (RaaS), emplea una amplia variedad de t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP), lo que crea desaf\u00edos importantes para la defensa y la mitigaci\u00f3n<\/strong>. Hive utiliza m\u00faltiples mecanismos para comprometer las redes comerciales, incluidos los correos electr\u00f3nicos de phishing<\/em> con archivos adjuntos maliciosos<\/strong> para obtener acceso y el Protocolo de Escritorio Remoto<\/strong> (RDP en Ingl\u00e9s) para moverse una vez en la red.<\/p>\n\n\n\n

Hive <\/strong>busca los procesos de las computadoras y sistemas relacionados con copias de seguridad, antivirus\/antispyware y copia de archivos y los obliga a finalizar, para facilitar el cifrado de archivos. Asimismo, el ransomware elimina las copias de seguridad<\/strong> sin notificar a la v\u00edctima .<\/p>\n\n\n\n

Algunas v\u00edctimas informaron al FBI haber recibido llamadas telef\u00f3nicas de actores de Hive solicitando el pago<\/strong> por sus archivos. El plazo inicial para el pago fluct\u00faa entre 2 y 6 d\u00edas, pero los criminales han prolongado el plazo en respuesta al contacto de la v\u00edctima y la negociaci\u00f3n que logren.<\/p>\n\n\n\n

El grupo de ransomware Hive opera un portal donde se indica a sus v\u00edctimas que inicien sesi\u00f3n con las credenciales<\/strong> que los atacantes colocan en uno de los archivos que dejan tras un ataque exitoso. El portal permite un chat directo entre la organizaci\u00f3n v\u00edctima y los afiliados\/administradores del sitio.<\/p>\n\n\n\n

Es aqu\u00ed donde los actores de amenazas hacen sus demandas de rescate (generalmente el valor del 1% de los ingresos anuales de la empresa<\/a> en Bitcoin o cualquier otra criptomoneda), negocian con las v\u00edctimas y proporcionan pruebas de que llevaron a cabo el ataque proporcionando archivos de muestra o un descifrador para un peque\u00f1o subconjunto de archivos cifrados.<\/p>\n\n\n\n

\"Portal
https:\/\/blog.talosintelligence.com\/2022\/05\/conti-and-hive-ransomware-operations.html<\/figcaption><\/figure>\n\n\n\n

Hospitales, blancos predilectos de los cibercriminales de Hive<\/h2>\n\n\n\n

En agosto de 2021, el sitio especializado ZDNet revel\u00f3 que Hive hab\u00eda atacado al menos 28 organizaciones de salud en los Estados Unidos<\/strong>, afectando cl\u00ednicas y hospitales a lo largo de Ohio y Virginia del Oeste.<\/p>\n\n\n\n

El Memorial Healthcare System<\/strong> sufri\u00f3 un ataque en agosto de 2021, obligando a sus hospitales a usar expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados<\/strong>. La organizaci\u00f3n termin\u00f3 pagando el rescate<\/strong> para recuperar el acceso a sus sistemas.<\/p>\n\n\n\n

En diciembre de 2021 el grupo de cibercriminales revel\u00f3 haber atacado 355 compa\u00f1\u00edas a lo largo de seis meses<\/strong>, la gran mayor\u00eda en los Estados Unidos. De esas, al menos 104 terminaron pagando el rescate<\/strong> por recuperar sus sistemas.<\/p>\n\n\n\n

El sitio especializado TechTarget afirm\u00f3 que Hive Ransomware Group se comunica en ruso<\/strong>, pero que no hay informaci\u00f3n sobre la localizaci\u00f3n de sus operaciones<\/p>\n\n\n\n

Recientes ataques<\/h2>\n\n\n\n