Escuchar
El ciberataque de este martes contra los sistemas de la Caja Costarricense de Seguro Social (CCSS) habría sido concretado por un grupo delictivo llamado Hive que trabaja en conjunto con los criminales de Conti. Esa organización hackea los sistemas de instituciones y empresas utilizando los accesos que han dejado las vulneraciones de Conti, como las que sufrió Costa Rica desde el pasado 18 de abril.
Su propósito sería el mismo: extorsionar para sacar provecho económico, según afirman especialistas y fuentes consultadas por La Nación.
En conferencia de prensa, la Caja se refirió a “Hive” como el nombre del intruso informático que apareció en las computadoras institucionales cuando se detectó el ataque esta madrugada. Luego de esto, el reconocido portal de noticias tecnológicas Bleeping Computer comunicó que tuvo acceso a una de las notas de rescate de la vulneración a la CCSS y que pudo confirmar que el grupo detrás de Hive fue el que realizó la amenaza.
“Ahora Conti se ha asociado con numerosas operaciones de ransomware conocidas, incluida Hive, HelloKitty, AvosLocker, BlackCat, BlackByte y otras. Desde que los miembros de Conti se unieron a las filas de Hive, los grupos han comenzado a filtrar los datos de las víctimas en sus blogs de filtración, aunque niegan que haya algún vínculo entre las dos pandillas”, reseñó la nota sobre la relación de ambos grupos criminales.
LEA MÁS: Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica
Incluso el periodista de investigación Brian Krebs, quien es un referente en el área de cibercrimen, también atribuyó el ataque al grupo Hive. “Parece ser el grupo de rescate Hive, según la nota de rescate. Esto, ya que Costa Rica todavía está lidiando con las consecuencias de un ataque de rescate de datos por parte de Conti”, escribió el reportero del Washington Post, al destacar que “bien podrían ser los mismos delincuentes involucrados”.
La Caja, sin embargo, aseguró enfáticamente que no ha recibido ningún reclamo de dinero a cambio de no liberar información. Niega la existencia de un ataque extorsivo y dice no poder asegurar que se trate de un nuevo grupo de ciberdelincuentes.
El especialista en ciberseguridad Esteban Jiménez también dijo a La Nación que es muy claro que el grupo detrás del ataque es Hive, el cual actúa con ayuda de exmiembros de Conti que han aprovechado un backdoor (acceso libre) que había quedado en la CCSS porque “no fue eliminado de forma apropiada” cuando se realizó el monitoreo de instituciones vulneradas por los piratas informáticos rusos, en abril.
“Adelantar ese criterio no es responsable. Lo que sí sabemos es que hubo un ataque a las 2 a. m., esperamos tener la respuesta de si fue un backdoor o es un nuevo ataque”, expresó al respecto Roberto Blanco Topping, director de Tecnologías de Información de la CCSS.
Hace siete meses, Hive atacó los sistemas de un centro de salud en el sureste de Missouri, Estados Unidos, donde robó datos confidenciales de pacientes y luego comenzó a publicar en la web los nombres de las personas y sus números de seguro social e información médica. Hasta el momento eso no ha ocurrido en el territorio nacional, pero Jiménez señala que es una posibilidad que solo se descubrirá con el tiempo.
LEA MÁS: Nuevo ‘hackeo’ en CCSS afecta atención en hospitales y Ebáis por desactivación del EDUS
Por su parte, el abogado experto en delitos informáticos Adalid Medrano comentó que aunque Hive sea un grupo reciente, ya ha obtenido dinero gracias a distintos ataques efectivos y que actualmente tiene 55 vulneraciones en proceso a empresas que aún no han pagado la extorsión. “Es probable que nos encontremos ante una exfiltración de datos y vulneración de la confidencialidad de los expedientes de la Caja, pero eso solo se podrá determinar con un peritaje”, explicó el jurista a este diario.
¿Quiénes son?
De acuerdo con una alerta emitida el pasado 18 de abril por el área de ciberseguridad del Departamento de Salud y Servicios Humanos de Estados Unidos, Hive (en español Colmena) es un grupo de ransomware (programa extorsivo) “excepcionalmente agresivo” que busca extraer dinero mediante ataques sofisticados a organizaciones de atención médica. Comenzó a operar desde junio de 2021, principalmente en EE. UU.
En diciembre anterior, apenas un semestre después de haber iniciado sus actos criminales, Hive ya había sido colocado por la famosa plataforma de ciberseguridad Intel471 como uno de los cuatro ransomware con más ciberataques en el mundo y con víctimas en una docena de países, entre esos Australia, China, Alemania, India, Países Bajos, Noruega, Perú, Portugal, España, Suiza, Taiwán y Tailandia.
Además, el proveedor de soluciones contra ciberataques Group-IB identificó que en los primeros 100 días de operación, Hive logró vulnerar un total de 355 empresas mediante servidores RDP vulnerables, credenciales VPN comprometidas y correos electrónicos de phishing con archivos adjuntos maliciosos. Según explica, “el cifrado de datos a menudo se lleva a cabo fuera del horario laboral o durante el fin de semana” y al menos 100 compañías han cedido ante la extorsión y pagado el rescate de la información sustraída.
LEA MÁS: Funcionarios del ICE evaluarán ciberseguridad de 324 instituciones públicas en dos semanas
El presidente ejecutivo de la CCSS, Álvaro Ramos, insistió en conferencia de prensa que aún no han confirmado si el grupo Hive fue el que realizó el ciberataque a la institución, pero La Nación tuvo acceso a una nota de rescate que supuestamente llegó a los sistemas de la Caja y es exactamente la misma que sale en la alerta técnica del grupo Hive emitida por el Departamento de Salud y Servicios Humanos de Estados Unidos. Por el momento no se pide una suma de dinero, sino únicamente seguir una serie de pasos para evitar la publicación de la información.
Aunque este grupo emplea tácticas similares a otros ransomware, el FBI destaca que es de mucho cuidado porque también aplica una variedad de tácticas, técnicas y procedimientos (TTP) que provocan “desafíos significativos para defensa y mitigación”. En una información publicada en agosto anterior, la organización policial confirmó que Hive “opera como un ransomware basado en afiliados”, como Conti, por ejemplo.
LEA MÁS: ‘Gente dentro del país está colaborando con Conti’, dice presidente Chaves
Esto empezaron a imprimir las impresoras ellas solas, a media madrugada, nadie entendía que pasaba hasta que nos avisaron por sonido que apagáramos todas las computadoras #HackeoCCSS pic.twitter.com/V9TkwykxhW
— Derecho a la felicidad!!! (@Gerdex) May 31, 2022
Relación con Conti
Una investigación realizada por los expertos informáticos Yelisey Bogusalvskiy y Vitali Kremez para el portal de ciberseguridad AdvIntel, señala que el pasado 19 de mayo “Conti” murió como marca, mediante una estrategia para dividirse en grupos más pequeños para seguir cometiendo actos delictivos en Internet. Parte de su plan es seguir vulnerando sistemas bajo el nombre de otras marcas y en alianza con otros ransomware, como Hive.
De acuerdo con los autores, desde hace meses Conti comenzó a crear silenciosamente fraccionamientos en los que sus miembros se fueron insertando para concretar hackeos que pusieran a estos nuevos grupos en el ojo público. Sin embargo, Conti siguió operando como organización para no aparentar que se estaba dividiendo y su principal estrategia fue el ciberataque a las instituciones públicas de Costa Rica.
“El ataque a Costa Rica puso a Conti en el centro de atención y les ayudó a mantener la ilusión de vida por un poco más de tiempo, mientras se llevaba a cabo la verdadera reestructuración”, indican los investigadores, al destacar que “para ocultar el hecho de que Conti ahora estaba disperso y operaba a través de marcas más pequeñas y novedosas, los exafiliados de la pandilla ahora tenían que simular de manera convincente las acciones de una marca muerta”.
LEA MÁS: IFAM tuvo que poner un ‘firewall’ en 15 municipios para proteger datos y presupuestos en riesgo
Los especialistas argumentan que aunque las autoridades ticas pensaban que los delincuentes buscaban obtener dinero con sus hackeos, en realidad el único objetivo que buscaba Conti con este ataque final era usar su plataforma de anuncios como una herramienta de publicidad, ya que incluso el rescate que solicitaron era de una suma muy baja, distinta a los $10 millones que en algún momento anunció el Gobierno costarricense.
“Las comunicaciones internas entre los miembros del grupo sugirieron que el pago del rescate solicitado estaba muy por debajo de $1 millón (a pesar de las afirmaciones no verificadas de que el rescate era de $10 millones, seguidas de las propias afirmaciones de Conti de que la suma era de $20 millones). Una demanda baja como esta, hecha nada menos que a una entidad estatal, solo se hizo con el conocimiento de que el grupo nunca vería el pago del rescate”, explicaron los informáticos.
Bogusalvskiy le aseguró a Bleeping Computer que AdvIntel identificó y confirmó con un alto nivel de certeza que Conti ha estado trabajando con Hive durante más de medio año, al menos desde noviembre de 2021, ya que Hive funciona como una de las raíces de escape de negociación para Conti. Además, señaló que también hay evidencia de que ambos grupos comparten los accesos que han vulnerado mediante los hackeos.
LEA MÁS: Presidencia asume ‘control’ de estrategia contra ciberataques, mediante decreto
“Los miembros de Conti continúan las negociaciones con las víctimas que violaron anteriormente bajo la marca Hive. Esto les da la oportunidad de recibir un pago, ya que, a diferencia de Conti, Hive no está asociado con el apoyo directo de la invasión rusa de Ucrania (algo que dificulta recibir pagos), a pesar de que el rescate pagado a Hive probablemente sea recibido por las mismas personas dentro de Conti que reclamaron la alineación colectiva del grupo con el gobierno ruso”, concluyó el autor a la revista informática.
