## Estudio del análisis de Hive ----- **_Diciembre 2021_** **INCIBE-CERT_ESTUDIO_ANALISIS_HIVE_2021_v1** La presente publicación pertenece a INCIBE (Instituto Nacional de Ciberseguridad) y está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón, está permitido copiar, distribuir y comunicar públicamente esta obra bajo las siguientes condiciones: - Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INCIBE o INCIBE-CERT como a su sitio web: [https://www.incibe.es/. Dicho reconocimiento](https://www.incibe.es/) no podrá en ningún caso sugerir que INCIBE presta apoyo a dicho tercero o apoya el uso que hace de su obra. - Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INCIBE-CERT como titular de los derechos de autor. Texto completo de la licencia: [https://creativecommons.org/licenses/by-nc-sa/3.0/es/.](https://creativecommons.org/licenses/by-nc-sa/3.0/es/) ----- # Índice ###### ÍNDICE DE FIGURAS ............................................................................................ 3 ÍNDICE DE TABLAS .............................................................................................. 4 1. Sobre este estudio ........................................................................................... 5 2. Organización del documento .......................................................................... 6 3. Introducción ...................................................................................................... 7 4. Informe técnico ................................................................................................. 8 4.1. Características generales ............................................................................ 8 4.2. Procedimiento de infección .......................................................................... 9 4.3. Análisis detallado ......................................................................................... 9 4.4. Actualizaciones en las muestras más recientes ......................................... 17 4.5. Información sobre el grupo de amenaza .................................................... 25 5. Referencias ..................................................................................................... 29 Anexo 1: Indicadores de compromiso (IOC) .................................................... 30 Anexo 2: Reglas de detección ........................................................................... 33 Reglas Yara ...................................................................................................... 33 Reglas Sigma .................................................................................................... 35 #### ÍNDICE DE FIGURAS Ilustración 1. Arreglo de cabecera PE para análisis dinámico ........................................................... 9 Ilustración 2. Contenido del fichero hive.bat volcado en disco por la muestra Hive3.exe ............... 10 Ilustración 3. Contenido del fichero shadow.bat volcado en disco por la muestra Hive3.exe ......... 10 Ilustración 4. Árbol de procesos de la muestra Hive3.exe donde se muestra hive.bat en ejecución .......................................................................................................................................................... 10 Ilustración 5. Script de volcado en disco por Hive8.exe .................................................................. 10 Ilustración 6. Log en terminal mostrado por las versiones más recientes del ransomware ............ 11 Ilustración 7. Ayuda mostrada por la muestra Hive3.exe ................................................................ 11 Ilustración 8. Ayuda mostrada por la muestra Hive6.exe ................................................................ 11 Ilustración 9. Ayuda mostrada por la muestra Hive9.exe ................................................................ 11 Ilustración 10. Procesado de los parámetros aceptados por comando ........................................... 12 Ilustración 11. Función de inicialización de la configuración del proceso ........................................ 13 Ilustración 12. Fragmento de las instrucciones para el cifrado de la clave generada ..................... 14 Ilustración 13 . Fragmento de instrucciones para volcar la clave cifrada en disco .......................... 15 Ilustración 14. Conjunto de llamadas para la actividad principal del ransomware .......................... 16 Ilustración 15. Creación de hilos para cifrado .................................................................................. 16 Ilustración 16. Llamadas a funciones de renombrado y cifrado ....................................................... 17 Ilustración 17. Listado de opciones admitidas por la muestra del ransomware Hive ...................... 19 Ilustración 18. Listado de hilos de ejecución de Hive en ProcessHacker ........................................ 20 Ilustración 19. Generación de variables de descifrado de cadenas ................................................ 23 Ilustración 20. Descifrado de caracteres .......................................................................................... 23 Ilustración 21. Listado de servicios a detener descifrado ................................................................ 24 Ilustración 22. Descifrado de cadenas con dos buffers ................................................................... 24 Ilustración 23. Bucle de descifrado de cadenas en dos bufers ........................................................ 25 Ilustración 24. Cadena descifrada .................................................................................................... 25 Ilustración 25. Blog de filtraciones del ransomware Hive................................................................. 26 Ilustración 26. Empresa de ciberseguridad con estética considerablemente similar ...................... 26 ----- Ilustración 27. Dimensiones de extorsión en grupos de ransomware. Fuente: Trend Micro ........... 27 Ilustración 28. Plataforma de extorsión con mensaje de cuenta suspendida .................................. 28 #### ÍNDICE DE TABLAS Tabla 1. Resumen de muestras de ransomware Hive obtenidas ...................................................... 8 Tabla 2. Conjunto de parámetros aceptados por las variantes del ransomware Hive .................... 12 Tabla 3. Conjunto de parámetros aceptados por las variantes del ransomware Hive .................... 17 Tabla 4. Parámetros admitidos por la muestra analizada ................................................................ 19 Tabla 5. Servicios detenidos por la muestra en su configuración por defecto ................................ 21 Tabla 6. Procesos detenidos por la muestra en su configuración por defecto ................................ 21 Tabla 7. Ficheros ignorados independientemente del parámetro aportado .................................... 22 Tabla 8. Indicadores hash y sus respectivos valores....................................................................... 30 Tabla 9. Comandos ejecutados ........................................................................................................ 32 Tabla 10. Servicios de transferencia de archivos utilizados ............................................................ 32 Tabla 11. URLs de sus portales ....................................................................................................... 32 Tabla 12. Resultado de las reglas de Yara ...................................................................................... 35 ----- ### 1. Sobre este estudio Este estudio contiene los resultados del análisis conducido sobre distintas muestras en sus distintas versiones del software de cifrado del grupo de ransomware referido como “Hive”, obtenidas de fuentes públicas o semipúblicas. El objetivo del estudio reside en reunir la información necesaria para poder identificar las características propias del código dañino de esta familia, así como su comportamiento. Las acciones realizadas para su elaboración comprenden un análisis estático y dinámico dentro de un entorno controlado, junto con una comparación de resultados entre las muestras obtenidas. En cuanto a la metodología seguida, en primer lugar, para la realización del análisis estático, se ha utilizado PEStudio y PEBear, de donde se ha podido extraer el lenguaje de programación o packer utilizado (dependiendo del caso), así como cadenas de texto con comandos de las muestras. Para desempaquetar las muestras se ha utilizado el mismo software de empaquetado, UPX. Tras esto, se ha procedido a un análisis dinámico en mayor profundidad, depurando el código paso a paso con IDA Pro en un entorno virtualizado, al que se le simula conectividad a Internet con una segunda máquina Linux, ejecutando INetSim y configurada como router y como servidor DNS, al tiempo que se monitoriza el sistema Windows en el que se ejecuta, mientras se depura y se monitoriza paralelamente mediante Sysmon, Procmon y ProcessHacker, los cuales permiten perfilar todas las interacciones de la amenaza con el sistema. ----- ### 2. Organización del documento Este documento consta de una parte 3.- Introducción en la que se expone el tipo de amenaza que representa el código dañino ransomware de Hive, mencionando su principal finalidad, así como algunas características. A continuación, en el apartado 4.- Informe técnico se recogen los resultados de los análisis dinámicos y estáticos sobre las muestras obtenidas, así como las observaciones comparativas. En el final de este mismo apartado se añade también información relevante sobre el grupo que opera tras este código dañino. Finalmente, el apartado 5.- Referencias aporta las referencias consultadas a lo largo del análisis. Adicionalmente, el documento cuenta con dos anexos: en el Anexo 1: Indicadores de compromiso (IOC) se recoge el indicador de compromiso (IOC), y el Anexo 2: Reglas de detección consta de las reglas de Yara y Sigma para la detección en disco o en memoria de muestras desempaquetadas de esta familia. ----- ### 3. Introducción El código dañino de Hive ransomware representa una amenaza para todos los usuarios, ya que implementa las funcionalidades de cifrado de la información de un equipo infectado, imposibilitando la recuperación de los datos de forma sencilla. El grupo de individuos, que operan tras este código dañino, trata de llevar a cabo una extorsión para la recuperación de dicha información, exigiendo un pago y amenazando con publicar parte de la información robada en el blog que exponen a través de la red Tor, en el caso de no acceder al pago exigido. Las muestras de código dañino se encuentran empaquetadas mediante el software UPX y están implementadas en el lenguaje de programación Golang. Gracias a este análisis se ha podido confirmar que el grupo continúa desarrollando las funcionalidades del software de cifrado, el cual utiliza un algoritmo propio para su tarea principal. Asimismo, se ha podido estudiar y comparar el comportamiento de cada una de las versiones identificadas, siendo diferenciadas en un total de tres versiones diferentes. ----- ### 4. Informe técnico A continuación, se detalla la información obtenida durante el análisis de las muestras. #### 4.1. Características generales ###### Nombre de Aparición Sha256 referencia en VirusTotal ``` Hive.exe 26-06-2021 e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab 2a2ec8948ef84e Hive2.exe 18-07-2021 612e5ffd09ca30ca9488d802594efb5d41c360f7a439df4ae0 9b14bce45575ec Hive3.exe 25-06-2021 77a398c870ad4904d06d455c9249e7864ac92dda877e288e57 18b3c8d9fc6618 Hive4.exe 22-07-2021 50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590 af667823e85609 Hive5.exe 01-07-2021 88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b0939 9717f85ea9afd1 Hive6.exe 14-07-2021 1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca 3a09d4f07db0ff Hive7.exe 02-09-2021 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bd ac06868136b72c Hive8.exe 02-08-2021 67ab2abe18b060275763e1d0c73d27c1e61b69097232ed9d04 8d41760a4533ef Hive9.exe 08-11-2021 b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297224a 0d82720d0ed501 ``` **_Tabla 1. Resumen de muestras de ransomware Hive obtenidas_** La primera muestra de Hive fue subida a VirusTotal el día 25 de junio de 2021 (Hive.exe), siendo esta muestra la más antigua publicada de esta familia de ransomware, que se dio a conocer en la primera mitad de ese mismo mes. Al respecto de las referencias temporales para cada muestra, cabe destacar que en ninguna de ellas aparece un valor en el campo de la cabecera relativo a la fecha de compilación, por lo que se ha empleado como referencia temporal la fecha de publicación en la plataforma de VirusTotal. Las muestras del ransomware Hive están desarrolladas en el lenguaje de programación conocido como “Golang” o “Go”, y compiladas tanto para arquitecturas de 32-bit como de 64-bit. Además, a excepción de la muestra pública más reciente que se ha obtenido (Hive9.exe), todas las versiones se encuentran comprimidas mediante el empaquetador de ejecutables UPX. A pesar de su reciente aparición, se ha comprobado que el software de cifrado se encuentra en continuo desarrollo, ya que se han identificado ligeras variaciones entre las primeras muestras publicadas y las más recientes. Entre las distintas variaciones, se ha observado que la principal funcionalidad de las muestras permanece igual, situando las principales diferencias en detalles sobre el comportamiento del cifrado, configurables a través de parámetros aportados en línea de comandos. Un ejemplo de esto es la posibilidad |Nombre de referencia|Aparición en VirusTotal|Sha256| |---|---|---| |Hive.exe|26-06-2021|e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab 2a2ec8948ef84e| |Hive2.exe|18-07-2021|612e5ffd09ca30ca9488d802594efb5d41c360f7a439df4ae0 9b14bce45575ec| |Hive3.exe|25-06-2021|77a398c870ad4904d06d455c9249e7864ac92dda877e288e57 18b3c8d9fc6618| |Hive4.exe|22-07-2021|50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590 af667823e85609| |Hive5.exe|01-07-2021|88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b0939 9717f85ea9afd1| |Hive6.exe|14-07-2021|1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca 3a09d4f07db0ff| |Hive7.exe|02-09-2021|321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bd ac06868136b72c| |Hive8.exe|02-08-2021|67ab2abe18b060275763e1d0c73d27c1e61b69097232ed9d04 8d41760a4533ef| |Hive9.exe|08-11-2021|b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297224a 0d82720d0ed501| ----- de sobrescribir el espacio libre del equipo infectado o de ignorar ficheros con una antigüedad especificada. Si bien todas las muestras publicadas estaban compiladas para sistemas operativos Windows, hasta octubre de 2021 no se habían registrado muestras públicas para cifrado en Linux, pero sí se conocía desde el mes anterior que el grupo ya había implementado versiones de su software de cifrado para entornos Linux, según un informe publicado por Netskope. #### 4.2. Procedimiento de infección Según la información publicada hasta la fecha sobre el grupo de operadores, la principal vía de entrada es obtenida mediante phishing o spear phishing, si bien es cierto que esta ha podido variar en determinados casos. Tras el acceso inicial, se conoce que el grupo empleará una herramienta de control remoto, tomando como preferencia Cobalt Strike, y utilizando ConnectWise como segunda opción, en el caso de no conseguir ejecutar un _payload de Cobalt Strike. Después de haber establecido la persistencia mediante alguna_ de las herramientas mencionadas, y haber conseguido los movimientos laterales deseados por el atacante, se utilizarán las mismas herramientas para lanzar a ejecución el software de cifrado del ransomware Hive. #### 4.3. Análisis detallado Como se ha mencionado, las muestras suelen encontrarse empaquetadas mediante la herramienta de código abierto UPX. Aunque las muestras de ransomware en sí mismas no implementan capacidades de antianálisis, el empaquetado de las mismas mediante UPX se ha llevado acabo aplicando un parámetro que destruye algunos elementos de la cabecera del ejecutable, de tal forma que no es posible ejecutarlo en su forma descomprimida. No obstante, para posibilitar la ejecución y, por tanto, el análisis dinámico de la muestra desempaquetada, se ha manipulado dicha cabecera, corrigiendo el único “fallo” provocado por UPX relevante para posibilitar su ejecución. Se ha observado que otras cabeceras han sido modificadas, pero no afectan ni a la ejecución ni al resto de su comportamiento, por lo que no se ha focalizado su estudio en este análisis. **_Ilustración 1. Arreglo de cabecera PE para análisis dinámico_** Las primeras versiones de la familia de ransomware vuelcan dos ficheros de scripting en el directorio en el que son ejecutadas. El fichero "hive.bat" implementa la sencilla tarea de intentar eliminar el ejecutable cada segundo, de tal forma que, mientras se encuentre en ejecución, no será posible, y una vez finalice, podrá borrarlo del equipo infectado con éxito. El otro fichero, "shadow.bat", se encarga de ejecutar el comando "vssadmin.exe delete ----- shadows /all /quiet" para eliminar las shadow copies del equipo infectado, y autoeliminarse inmediatamente. **_Ilustración 2. Contenido del fichero hive.bat volcado en disco por la muestra Hive3.exe_** **_Ilustración 3. Contenido del fichero shadow.bat volcado en disco por la muestra Hive3.exe_** **_Ilustración 4. Árbol de procesos de la muestra Hive3.exe donde se muestra hive.bat en ejecución_** En las muestras más actuales han tratado de evitar los volcados de estos ficheros, prescindiendo de la funcionalidad de borrado del ejecutable e integrando el borrado de las _shadow copies, que el binario realizará mediante llamadas directas a vssadmin.exe y el_ uso de WMI. No obstante, existe también una versión intermedia (vista en agosto de 2021), que todavía pasa por volcar un fichero temporalmente, esta vez con un nombre aleatorio y concentrando todo el conjunto de actividad inmediatamente previa al cifrado. **_Ilustración 5. Script de volcado en disco por Hive8.exe_** ----- Otra diferencia respecto de las primeras variantes frente a las nuevas versiones detectadas a partir de agosto de 2021, es el log del proceso, el cual se muestra en un terminal para las nuevas variantes, mientras que en las primeras, por defecto no se muestra en pantalla ningún tipo de log: **_Ilustración 6. Log en terminal mostrado por las versiones más recientes del ransomware_** No obstante, la diferencia principal que se percibe a priori entre las diferentes versiones reside en los parámetros de configuración para el proceso de cifrado, a través de los cuales se especifica el comportamiento que ha de tener dicho proceso, acorde a las funcionalidades implementadas. Algunos de los parámetros aceptados en distintas variantes, así como sus valores por defecto, se muestran a continuación en supuesto orden cronológico, según la versión del ransomware Hive: **_Ilustración 7. Ayuda mostrada por la muestra Hive3.exe_** **_Ilustración 8. Ayuda mostrada por la muestra Hive6.exe_** **_Ilustración 9. Ayuda mostrada por la muestra Hive9.exe_** ----- |Parámetro|Descripción| |---|---| |-kill|Listado de procesos a ser terminados por la muestra, procesado como expresión regular. Distinto por defecto según la versión.| |-skip|Listado de nombres de fichero a ser ignorados en el proceso de cifrado, también definidos como expresión regular. Por defecto ficheros con extensión “.lnk”.| |-skip-before|Fecha limite a partir de la cual no se cifrarán ficheros con fecha de creación más antigua. Por defecto 5 años antes que la fecha actual en el momento de la ejecución.| |-stop|Listado de servicios a ser detenidos por la muestra, procesado como expresión regular. Distinto por defecto según la versión.| |-t|Numero de hilos distinto para influir en el tiempo o recursos durante el proceso de cifrado. Por defecto 10 hilos.| |-no-wipe / -no-clean (según versión)|Opción para no sobrescribir el espacio libre del disco, tras terminar el cifrado de ficheros. Por defecto esta acción está habilitada y creará ficheros del mismo tamaño en el volumen principal hasta llenar el disco para evitar posibles recuperaciones de ficheros.| |-grant|Otorgar permisos a todos los ficheros| **_Tabla 2. Conjunto de parámetros aceptados por las variantes del ransomware Hive_** La ayuda mostrada en el terminal, junto con los distintos parámetros configurables por línea de comandos, podría ser un indicio de que se trata de un servicio de ransomware operado por humanos. En todos los casos existe un conjunto de instrucciones de preinicialización dentro de la función main, que recoge la configuración del proceso, teniendo en cuenta los parámetros con los que se ha lanzado a ejecución o aplicando los parámetros por defecto. **_Ilustración 10. Procesado de los parámetros aceptados por comando_** ----- Tras esta preinicialización se llama a la función encryptor.NewApp(), que verdaderamente iniciará la configuración y preparará el proceso para proceder al cifrado. En el interior de esta función se genera una clave aleatoria que será la que utilice para el cifrado de la información del equipo infectado. **_Ilustración 11. Función de inicialización de la configuración del proceso_** Si observamos la Ilustración 11, además de encontrar la llamada a la función responsable de generar la clave aleatoria, se aprecia cómo se carga en memoria el propio contenido de la nota de rescate, en la que se aporta un usuario y contraseña para su portal de negociación de la extorsión. Esto es indicativo de que cada construcción de cada muestra lleva asociado a priori la información de acceso a dicho portal. Una vez se ha iniciado la configuración, el grueso del proceso comienza su actividad mediante la llamada a App.Run(), que a su vez llama en primer lugar a la función App.ExportKey(), y que será la función encargada de cifrar la clave aleatoria generada. ----- **_Ilustración 12. Fragmento de las instrucciones para el cifrado de la clave generada_** Para el cifrado de la clave generada se utiliza el cifrado RSA-OAEP con una clave pública embebida en el código. A continuación, esta clave cifrada se guardará en un fichero en la raíz del volumen principal (habitualmente C:\) del equipo infectado, recibiendo como nombre de fichero el hash md5 de dicha clave ya cifrada, convertida a base64 utilizando un alfabeto especifico ([A-Z][a-z][0-9]_-), concatenado con las extensiones .key + .[extensión de cifrado]. ----- **_Ilustración 13 . Fragmento de instrucciones para volcar la clave cifrada en disco_** Finalmente, las llamadas consecuentes llevarán a cabo la actividad descrita al inicio del análisis, cuyo contenido variará en función de la versión. En el caso de la muestra analizada a fondo (Hive4.exe), por ejemplo, las funciones App.RemoveItself() y App.RemoveShadowcopies() se encargarán de volcar en disco y ejecutar los ficheros .bat, que se encargarán tanto del borrado de las shadow copies como de la eliminación de la propia muestra de ransomware una vez terminada su ejecución. ----- **_Ilustración 14. Conjunto de llamadas para la actividad principal del ransomware_** En la llamada a la función App.EncryptFiles() no será donde realmente se cifre la información, sino que en el interior de esta función se realizarán las llamadas a los correspondientes hilos, aportando como parámetro la dirección de la función App.encryptFilesGroup(), que ejecutarán los distintos hilos en paralelo para cifrar el equipo infectado por bloques de ficheros (siendo 10 hilos el número por defecto para aquellas variantes que admiten especificar este valor). **_Ilustración 15. Creación de hilos para cifrado_** En el interior de esta función se llamará a otra más, App.EncryptFile(), dentro de la cual, primero se renombrará el fichero que se va a cifrar, y después se llamará a la función que es realmente responsable de cifrar su contenido. ----- **_Ilustración 16. Llamadas a funciones de renombrado y cifrado_** Tal y como se muestra en la ilustración 16, la función final encargada del cifrado recibe el nombre de PrimaryKey.EvaluateSpottedFile() e implementa un algoritmo de cifrado de desarrollo propio relativamente grande, que emplea la clave de 10MB previamente generada. Por último, resulta importante matizar que las propias muestras de ransomware no realizan ningún tipo de contacto con un servidor de mando y control, al tratarse del eslabón final de un compromiso y posterior ataque de ransomware. #### 4.4. Actualizaciones en las muestras más recientes La muestra más reciente conocida de este grupo es la siguiente: ###### Muestra analizada Nombre de Fecha de Hash sha256 referencia publicación ``` Hive9.exe 08-11-2021 b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297 224a0d82720d0ed501 ``` **_Tabla 3. Conjunto de parámetros aceptados por las variantes del ransomware Hive_** |Nombre de referencia|Fecha de publicación|Hash sha256| |---|---|---| |Hive9.exe|08-11-2021|b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297 224a0d82720d0ed501| ----- Se ha llevado a cabo un análisis en mayor profundidad de esta muestra a fin de profundizar en el análisis y documentar las diferencias y novedades respecto de las muestras previamente analizadas. Esta muestra supone una de las más recientes publicadas, por lo que podría tratarse de la versión más actualizada en el momento de su publicación el 8 de noviembre de 2021. No obstante, como todas las muestras encontradas, no contiene una fecha de compilación en las cabeceras del fichero ejecutable que permita obtener conclusiones más concretas. A priori, uno de los cambios más notables reside en el hecho de que esta variante no se encuentra empaquetada con UPX. Las muestras anteriores, empaquetadas con UPX, no eran ejecutables tras ser descomprimidas, a no ser que se aplicara una modificación en las cabeceras del fichero ejecutable. Dado que esta muestra fue subida a fuentes públicas en estado desempaquetado, y con las cabeceras aparentemente íntegras y funcionales, es probable que los atacantes hayan dejado de utilizar UPX para empaquetar los binarios. El efecto inmediato que esto provoca es que al infectar un equipo con un binario empaquetado, el tamaño del mismo será considerablemente menor. El tamaño de las muestras de Hive ransomware empaquetadas oscila entre los 700 y los 900KB, mientras que el tamaño de las muestras sin compresión (como la analizada en el presente informe) se sitúa entre los 2,5 y los 3,5MB. Por un lado, este hecho provoca que se puedan generar firmas de detección de la amenaza más eficaces, pero por otra parte, debido al tamaño de los binarios desarrollados en Golang, es probable que en algunos entornos la solución antivirus ignore ficheros de tamaños tan grandes para evitar generar problemas de rendimiento en los equipos, no siendo por esto capaz de detectar esta muestra. Adicionalmente, para dificultar el análisis de esta nueva variante se han cifrado todas las cadenas de texto embebidas en el binario. A pesar de esto, el comportamiento y el código que implementa la mayor parte de la actividad de la muestra no ha variado. Una de las primeras variaciones observables consiste en que, mientras que la mayoría de muestras anteriores utilizaban la extensión “.hive” para los ficheros cifrados, esta muestra utiliza la extensión “.cggbt”. Por otra parte, al igual que en versiones anteriores de la familia de _ransomware, esta_ amenaza puede recibir por parámetro listados de servicios o procesos, que el ransomware detendrá antes de cifrar, para asegurar que tiene acceso a todos los ficheros y que ningún fichero será recuperable. Estos listados de procesos o servicios los espera como una única cadena de texto que implemente una única expresión regular; es decir, en el conjunto de servicios especificado, por ejemplo, se deberán separar los distintos valores mediante el uso del carácter “|”, siguiendo la sintaxis habitual para expresiones regulares. De igual modo, los ficheros que el ransomware debe ignorar durante el proceso de cifrado, también se especifican mediante una única expresión regular en la que se pueden separar los distintos elementos utilizando el carácter “|”. ----- **_Ilustración 17. Listado de opciones admitidas por la muestra del ransomware Hive_** La t4 muestra el resumen de los parámetros admitidos por la muestra analizada: ###### Parámetro Descripción **-kill** Listado de procesos a ser terminados por la muestra, procesado como expresión regular. **-skip** Listado de nombres de fichero a ser ignorados en el proceso de cifrado, también definidos como expresión regular. **-stop** Listado de servicios a ser detenidos por la muestra, procesado como expresión regular. **-no-wipe** Opción para no sobrescribir el espacio libre del disco, tras terminar el cifrado de ficheros. Por defecto esta acción está habilitada y creará ficheros del mismo tamaño en el volumen principal hasta llenar el disco para evitar posibles recuperaciones de ficheros. **-grant** Otorgar permisos a todos los ficheros **_Tabla 4. Parámetros admitidos por la muestra analizada_** Destaca el hecho de que en esta muestra se ha eliminado la posibilidad de evitar el cifrado de ficheros creados con anterioridad a una fecha, opción que se encontraba disponible en las muestras más antiguas con la utilización del modificador “-skip-before [fecha]”. También se ha eliminado el modificador “-t [int]” para controlar el número de hilos de ejecución encargados del cifrado de archivos. Durante la ejecución de la presente muestra se instanciarán 10 hilos en total para llevar a cabo el cifrado de la información en el equipo infectado. Para el resto de tareas se instanciarán otros 5 hilos más. Por otro lado, se ha añadido del modificador “-grant”, que intenta modificar los permisos de ficheros bloqueados por ACL para posibilitar su cifrado. |Parámetro|Descripción| |---|---| |-kill|Listado de procesos a ser terminados por la muestra, procesado como expresión regular.| |-skip|Listado de nombres de fichero a ser ignorados en el proceso de cifrado, también definidos como expresión regular.| |-stop|Listado de servicios a ser detenidos por la muestra, procesado como expresión regular.| |-no-wipe|Opción para no sobrescribir el espacio libre del disco, tras terminar el cifrado de ficheros. Por defecto esta acción está habilitada y creará ficheros del mismo tamaño en el volumen principal hasta llenar el disco para evitar posibles recuperaciones de ficheros.| |-grant|Otorgar permisos a todos los ficheros| ----- **_Ilustración 18. Listado de hilos de ejecución de Hive en ProcessHacker_** Como novedad en sus características por defecto, en esta variable se incluyen el servicio _LanmanWorkstation dentro del listado de servicios que el proceso detendrá antes de_ comenzar el cifrado del equipo infectado. En la siguiente tabla se puede observar el listado de servicios que esta muestra intentará detener antes de cifrar por defecto: ###### Conjunto total de servicios detenidos por defecto ``` acronis KAVFSGT postgres tomcat ``` |acronis|KAVFSGT|postgres|tomcat| |---|---|---|---| |AcrSch2Svc|kavfsslp|QBCFMonitorService|TrueKey| |Antivirus|klnagent|QBFCService|UI0Detect| |ARSM|LanmanWorkstation|QBIDPService|veeam| |AVP|macmnsvc|redis|vmware| |backup|masvc|report|vss| |bedbg|MBAMService|RESvc|W3Svc| |CAARCUpdateSvc|MBEndpointAgent|RTVscan|wbengine| |CASAD2DWebSvc|McAfee|sacsvr|WebClient| |ccEvtMgr|McShield|SamSs|wrapper| |ccSetMgr|McTaskManager|SAVAdminService|WRSVC| |Culserver|memtas|SavRoam|WSBExchange| |dbeng8|mepocs|SAVService|YooIT| |dbsrv12|mfefire|SDRSVC|zhudongfangyu| |DCAgent|mfemms|SepMasterService|Zoolz| |DefWatch|mfevtp|ShMonitor Smcinst SmcService SMTPSvc SNAC SntpService|| |EhttpSrv|MMS||| |ekrn|MsDtsServer||| |Enterprise Client Service|MsDtsServer100||| |EPSecurityService|MsDtsServer110||| |EPUpdateService|msexchange||| ----- |EraserSvc11710|msmdsrv|sophos sql SstpSvc stc_raw_agent ^svc swi_ Symantec TmCCSF tmlisten| |---|---|---| |EsgShKernel|MSOLAP|| |ESHASRV|MVArmor|| |FA_Scheduler|MVarmor64|| |firebird|NetMsmqActivator|| |IISAdmin|ntrtscan|| |IMAP4Svc|oracle|| |Intuit|PDVFSService|| |KAVFS|POP3Svc|| **_Tabla 5. Servicios detenidos por la muestra en su configuración por defecto_** El listado de procesos también ha incrementado de tamaño respecto al resto de muestras, añadiendo nombres de la suite ofimática de Microsoft y nombres de los clientes de correo más conocidos. En la siguiente tabla se puede encontrar el listado completo de patrones de nombre de proceso que intentará cerrar esta muestra antes de cifrar: ###### Conjunto total de procesos detenidos por defecto ``` agntsvc mspub sqbcoreservice sql mydesktop steam CNTAoSMgr Ntrtscan synctime dbeng50 ocautoupds tbirdconfig dbsnmp ocomm thebat encsvc ocssd thunderbird excel onenote tmlisten firefoxconfig oracle visio infopath outlook word mbamtray PccNTMon xfssvccon msaccess powerpnt zoolz ``` **_Tabla 6. Procesos detenidos por la muestra en su configuración por defecto_** Por otra parte, mantiene el modificador “-skip”, el cual recibe un listado de extensiones o palabras con las que crea una expresión regular, y los ficheros cuya ruta completa cumplan la expresión regular, son ignorados en el momento del cifrado. En este caso, la diferencia con otras muestras radica en que no cuenta con la extensión por defecto “.lnk” en dicho parámetro, que si se podía observar en otras versiones de la amenaza. Sin embargo, la amenaza cuenta con un listado interno de 88 palabras (la mayoría de ellas extensiones), que descifra durante su ejecución parar ignorar distintos ficheros, independientemente de lo que introduzca con este parámetro por línea de comandos. |agntsvc|mspub|sqbcoreservice| |---|---|---| |sql|mydesktop|steam| |CNTAoSMgr|Ntrtscan|synctime| |dbeng50|ocautoupds|tbirdconfig| |dbsnmp|ocomm|thebat| |encsvc|ocssd|thunderbird| |excel|onenote|tmlisten| |firefoxconfig|oracle|visio| |infopath|outlook|word| |mbamtray|PccNTMon|xfssvccon| |msaccess|powerpnt|zoolz| |Ficheros|ignorados| |---|---| |adv|scr| |Ani|shs| |bat|spl| |bin|sys| |cab|theme| |cmd|themepack| |com|url| |cpl|wpx| ----- |cur|C:\\Windows| |---|---| |deskthemepack|:386| |diagcab|autorun.inf| |diagcfg|bootfont.bin| |diagpkg|boot.ini| |dll|bootsect.bak| |drv|desktop.ini| |exe|iconcache.db| |hlp|ntldr| |hrmlog|ntuser.dat| |hta|ntuser.dat.log| |icl|ntuser.ini| |icns|thumbs.db)$| |ico|$recycle.bin| |ics|$windows.~bt| |idx|$windows.~ws| |ini|All users| |key|appdata| |lnk|application data| |lock|boot| |log|google| |mod|intel| |mpa|Microsoft| |mp3|mozilla| |msc|Mozilla| |msi|Msbuild| |msp|msocache| |msstyles|perflogs| |msu|system volume information| |nls|tor browser| |nomedia|windows| |ocx|Windows nt| |prf|windows.old| |ps1|$\\Windows\\| |rom|\\ADMIN\$| |rtp|\\IPC\$| **_Tabla 7. Ficheros ignorados independientemente del parámetro aportado_** Junto con el hecho de abandonar el uso de UPX como empaquetador, uno de los cambios más notables de esta muestra, con respecto a las muestras anteriores, es el cifrado de todas sus cadenas utilizando dos algoritmos distintos que dependen de la extensión de la cadena. Para cadenas de larga extensión contiene un buffer del doble del tamaño de cada cadena, el cual divide _byte a_ _byte en una variable distinta, generando una función muy_ grande, que dificulta el análisis en herramientas como IDA Pro o Ghidra. ----- **_Ilustración 19. Generación de variables de descifrado de cadenas_** Una vez generadas todas las variables, opera con grupos de dos de ellas, en unos casos con una operación de “xor”, en otros realiza una resta, y en otros una suma, componiendo así la cadena de texto descifrada con operaciones distintas para cada carácter: **_Ilustración 20. Descifrado de caracteres_** La función retorna la cadena y entre sus parámetros devuelve la longitud final del mismo. En el caso de la función del ejemplo, descifra el listado de servicios a detener antes de cifrar, pero se puede observar una función con una lógica parecida para el listado de procesos a parar antes de cifrar. ----- **_Ilustración 21. Listado de servicios a detener descifrado_** Para cadenas más cortas, como por ejemplo la definición de las funcionalidades de cada comando, utiliza una técnica mucho más común en malware, que consiste en almacenar en la pila dos buffers del mismo tamaño: **_Ilustración 22. Descifrado de cadenas con dos buffers_** Y posteriormente, realizar una misma operación aritmética con cada offset de ambos, en este caso una suma: ----- **_Ilustración 23. Bucle de descifrado de cadenas en dos bufers_** De esta manera, se compone una única cadena a partir de los dos bloques de contenido binario. En este caso, la función de ejemplo descifra la descripción del comando de parada de servicios, aunque se pueden encontrar funciones con el mismo algoritmo para el resto de comandos del binario. **_Ilustración 24. Cadena descifrada_** Debido a las funciones extra de descifrado de cadenas, y de todas las comprobaciones de error requeridas por la gestión de estas cadenas, el binario final tiene un aspecto diferente en varias de sus partes. Además, esto podría provocar la obsolescencia de muchas de las firmas de detección generadas para muestras anteriores, por lo que se han generado nuevas reglas Yara, que se pueden encontrar en Anexo II: Reglas de detección del presente documento. De la misma forma, a partir de los procesos generados por esta amenaza, se han generado cuatro reglas Sigma, que pueden ser traducidas a reglas de la mayoría de soluciones EDR recientes para la detección de la creación de estos procesos sospechosos. Por último, cabe destacar una última diferencia identificada en esta muestra respecto de la mayoría de las anteriores, y es que no realiza un vaciado de la papelera de reciclaje, por lo que al no cifrar su contenido los elementos situados en la papelera de reciclaje de Windows son recuperables. #### 4.5. Información sobre el grupo de amenaza El primer incidente registrado data del 14 de junio de 2021, dirigido a una empresa consultora inmobiliaria con sede en Canadá. Resultó finalmente en la publicación de la información exfiltrada en el blog del grupo de _ransomware específico para esto,_ normalmente incluido en la nota de rescate. ----- **_Ilustración 25. Blog de filtraciones del ransomware Hive_** Curiosamente, existen similitudes apreciables en la estética “comercial” o “corporativa” del grupo de ransomware con la de una empresa estadounidense, precisamente dedicada al ámbito de la ciberseguridad. **_Ilustración 26. Empresa de ciberseguridad con estética considerablemente similar_** A diferencia de otros muchos grupos de ransomware que claman no atacar hospitales, este grupo parece haber causado especial impacto en este sector tras varios ataques a distintas entidades del mismo, llegando a filtrar incluso información personal de pacientes médicos. ----- En este sentido, mediante la publicación de la información robada o la amenaza de hacerlo, Hive se sitúa en el marco de la doble extorsión para incentivar el pago del rescate. **_Ilustración 27. Dimensiones de extorsión en grupos de ransomware. Fuente: Trend Micro_** Para el proceso de negociación del rescate, tal y como se ha comentado, también se ofrece un portal al cual se accede mediante unas credenciales facilitadas en la nota de rescate volcada en disco tras el cifrado. Además, los atacantes parecen llevar a cabo labores de mantenimiento y gestión de la plataforma para evitar el uso de las credenciales de un incidente por parte de la comunidad de investigadores y analistas, una vez la muestra de la campaña es publicada. ----- **_Ilustración 28. Plataforma de extorsión con mensaje de cuenta suspendida_** ----- ### 5. Referencias  [https://blogs.blackberry.com/en/2021/07/threat-thursday-hive-ransomware](https://blogs.blackberry.com/en/2021/07/threat-thursday-hive-ransomware)  [https://www.sentinelone.com/labs/hive-attacks-analysis-of-the-human-operated-](https://www.sentinelone.com/labs/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/) [ransomware-targeting-healthcare/](https://www.sentinelone.com/labs/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/)  [https://www.netskope.com/blog/hive-ransomware-actively-targeting-hospitals](https://www.netskope.com/blog/hive-ransomware-actively-targeting-hospitals)  [https://www.ic3.gov/Media/News/2021/210825.pdf](https://www.ic3.gov/Media/News/2021/210825.pdf)  [https://securityaffairs.co/wordpress/123931/malware/hive-ransomware-linux-](https://securityaffairs.co/wordpress/123931/malware/hive-ransomware-linux-freebsd.html) [freebsd.html](https://securityaffairs.co/wordpress/123931/malware/hive-ransomware-linux-freebsd.html)  [https://upx.github.io/](https://upx.github.io/)  [https://pkg.go.dev/](https://pkg.go.dev/)  [https://cybernews.com/news/new-ransomware-group-hive-leaks-altus-group-sample-](https://cybernews.com/news/new-ransomware-group-hive-leaks-altus-group-sample-files/) [files/](https://cybernews.com/news/new-ransomware-group-hive-leaks-altus-group-sample-files/) ----- ### Anexo 1: Indicadores de compromiso (IOC) ###### Indicador Valor ``` Sha256 612e5ffd09ca30ca9488d802594efb5d41c360f7a439df4ae09b14bce45575ec Sha256 77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618 Sha256 50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609 Sha256 cf80ffac9ddb379e041834b06c07fc99f8885948fbc6d5c0c5ee79680e2bbe0e Sha256 88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1 Sha256 e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e Sha256 b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297224a0d82720d0ed501 Sha256 1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca3a09d4f07db0ff Sha256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c Sha256 67ab2abe18b060275763e1d0c73d27c1e61b69097232ed9d048d41760a4533ef Sha256 d158f9d53e7c37eadd3b5cc1b82d095f61484e47eda2c36d9d35f31c0b4d3ff8 Sha256 d2c217e9f3bc93d5f428524e80d0ef89a0b5b1f84add890ff7dc287ea460950b Sha256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c Md5 bee9ba70f36ff250b31a6fdf7fa8afeb Sha1 77d7614156607b68265b122fb35a1d408625cb96 Sha1 10bd0f1d3122d6575e882ba8f025eb11b0a95b61 IPv4 176.123.8.228 ``` **_Tabla 8. Indicadores hash y sus respectivos valores_** ###### Comandos ejecutados (únicamente en versiones más recientes) ``` net.exe stop "NetMsmqActivator" /y C:\Windows\system32\net1 stop "NetMsmqActivator" /y net.exe stop "SamSs" /y C:\Windows\system32\net1 stop "SamSs" /y net.exe stop "SDRSVC" /y C:\Windows\system32\net1 stop "SDRSVC" /y net.exe stop "SstpSvc" /y C:\Windows\system32\net1 stop "SstpSvc" /y net.exe stop "UI0Detect" /y C:\Windows\system32\net1 stop "UI0Detect" /y net.exe stop "VSS" /y C:\Windows\system32\net1 stop "VSS" /y net.exe stop "wbengine" /y C:\Windows\system32\net1 stop "wbengine" /y net.exe stop "WebClient" /y C:\Windows\system32\net1 stop "WebClient" /y sc.exe config "NetMsmqActivator" start= disabled sc.exe config "SamSs" start= disabled sc.exe config "SDRSVC" start= disabled sc.exe config "SstpSvc" start= disabled sc.exe config "UI0Detect" start= disabled sc.exe config "VSS" start= disabled sc.exe config "wbengine" start= disabled ``` |Indicador|Valor| |---|---| |Sha256|612e5ffd09ca30ca9488d802594efb5d41c360f7a439df4ae09b14bce45575ec| |Sha256|77a398c870ad4904d06d455c9249e7864ac92dda877e288e5718b3c8d9fc6618| |Sha256|50ad0e6e9dc72d10579c20bb436f09eeaa7bfdbcb5747a2590af667823e85609| |Sha256|cf80ffac9ddb379e041834b06c07fc99f8885948fbc6d5c0c5ee79680e2bbe0e| |Sha256|88f7544a29a2ceb175a135d9fa221cbfd3e8c71f32dd6b09399717f85ea9afd1| |Sha256|e1a7ddbf735d5c1cb9097d7614840c00e5c4d5107fa687c0ab2a2ec8948ef84e| |Sha256|b1bfc90de9dcea999dedf285c3d3d7e1901847d84ec297224a0d82720d0ed501| |Sha256|1e21c8e27a97de1796ca47a9613477cf7aec335a783469c5ca3a09d4f07db0ff| |Sha256|321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c| |Sha256|67ab2abe18b060275763e1d0c73d27c1e61b69097232ed9d048d41760a4533ef| |Sha256|d158f9d53e7c37eadd3b5cc1b82d095f61484e47eda2c36d9d35f31c0b4d3ff8| |Sha256|d2c217e9f3bc93d5f428524e80d0ef89a0b5b1f84add890ff7dc287ea460950b| |Sha256|321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c| |Md5|bee9ba70f36ff250b31a6fdf7fa8afeb| |Sha1|77d7614156607b68265b122fb35a1d408625cb96| |Sha1|10bd0f1d3122d6575e882ba8f025eb11b0a95b61| |IPv4|176.123.8.228| ----- ``` sc.exe config "WebClient" start= disabled reg.exe add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f reg.exe delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f reg.exe add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "0" /f reg.exe add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "0" /f schtasks.exe /Change /TN "Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh" /Disable schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Disable schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Disable schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Disable schtasks.exe /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Disable reg.exe delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "Windows Defender" /f reg.exe delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /f ``` ----- ``` reg.exe delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "WindowsDefender" /f reg.exe delete "HKCR\*\shellex\ContextMenuHandlers\EPP" /f reg.exe delete "HKCR\Directory\shellex\ContextMenuHandlers\EPP" /f reg.exe delete "HKCR\Drive\shellex\ContextMenuHandlers\EPP" /f reg.exe add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "4" /f reg.exe add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "4" /f reg.exe add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "4" /f reg.exe add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "4" /f reg.exe add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "4" /f reg.exe add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "4" /f vssadmin.exe delete shadows /all /quiet wevtutil.exe cl system wevtutil.exe cl security wevtutil.exe cl application wmic.exe SHADOWCOPY /nointeractive wmic.exe shadowcopy delete bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures bcdedit.exe /set {default} recoveryenabled no cmd.exe /c "C:\Program Files\Windows Defender\MpCmdRun.exe" RemoveDefinitions -All "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All cmd.exe /c powershell Set-MpPreference -DisableIOAVProtection $true powershell Set-MpPreference -DisableIOAVProtection $true cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true powershell Set-MpPreference -DisableRealtimeMonitoring $true ``` **_Tabla 9. Comandos ejecutados_** ###### Servicios de transferencia de ficheros empleados ``` https://anonfiles.com https://mega.nz https://send.exploit.in https://Ufile.io https://www.sendspace.com ``` **_Tabla 10. Servicios de transferencia de archivos utilizados_** ###### URL de sus portales ``` hxxp[:]//hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd[.]onion/ hxxp[:]//hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd[.]onion/ ``` **_Tabla 11. URLs de sus portales_** ----- ### Anexo 2: Reglas de detección ##### Reglas Yara ``` import "pe" rule Mal_Ransom_Hive_2021_unpacked { meta: description = "Detects unpacked Hive ransomware" author = "Blackberry Threat Research team" date = "2021-06-07" strings: //google.com/encryptor.(*App).KillProcesses $h = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e4b696c6c50726f636573736573} //google.com/encryptor.(*App).StopServices $h1 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e53746f705365727669636573} //google.com/encryptor.(*App).RemoveShadowCopies $h2 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e52656d6f7665536861646f77436f70696573} //google.com/encryptor.(*App).EncryptFiles $h3 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e456e637279707446696c6573} //google.com/encryptor.(*App).encryptFilesGroup $h4 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e656e637279707446696c657347726f7570} //google.com/encryptor.(*App).ScanFiles $h5 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e5363616e46696c6573} //google.com/encryptor.(*App).EraseKey $h6 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e45726173654b6579} //google.com/encryptor.(*App).RemoveItself $h7 = {676f6f676c652e636f6d2f656e63727970746f722e282a417070292e52656d6f7665497473656c66} //http://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/ $h8 = {687474703a2f2f6869766563757374367668656b7a74627167646e6b6b7336347563656871616367653364696a336779 727270647035377a6f71336f6f71642e6f6e696f6e2f} //http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/ $h9 = {687474703a2f2f686976656c65616b6462746e703736756c796869353265616736633674796333787737657a37697179 36776333346764326e656b617a79642e6f6e696f6e2f} condition: uint16(0) == 0x5a4d and all of ($h*) } ``` ----- ``` rule Win32_Ransomware_Hive { meta: description = "Detects unpacked 32-bit Hive Ransomware" author = "Netskope Threat Labs" strings: $go = "GO build" nocase $str00 = "EncryptFile" $str01 = "EncryptFiles" $str02 = "EraseKey" $str03 = "ExportKey" $str04 = "KillProcess" $str05 = "Notify" $str06 = "PreNotify" $str07 = "RemoveItself" $str08 = "RemoveShadowCopies" $str09 = "ScanFiles" $str10 = "StopServices" condition: uint16(0) == 0x5a4d and $go and 8 of ($str*) } ``` ``` rule HiveRansomware { meta: description = "Hive Ransomware code pattern" strings: $str_80 = {49 3B 66 10} $str_8a = {48 83 EC 30 48 89 6C 24 28 48 8D 6C 24 28 44 0F 11 7C 24 18 66 90 48 85 C9} $str_a9 = {48 83 F9 01} $str_af = {48 89 5C 24 40 48 85 C0} $str_b9 = {48 83 F9 20} $str_bf = {48 89 4C 24 48 48 89 C8 31 DB 31 C9 ?? ?? ?? ?? ?? 48 8B 4C 24 48 48 8B 5C 24 40} $str_da = {48 89 44 24 18 48 89 4C 24 20 ?? ?? ?? ?? ?? 48 8B 5C 24 20 48 8B 44 24 18 48 8B 6C 24 28 48 83 C4 30 C3} $str_fd = {0F B6 0B 48 8D 15 39 0C 31 00 48 8D 0C CA 48 89 4C 24 18 48 C7 44 24 20 01 00 00 00 48 8B 44 24 18 BB 01 00 00 00 48 8B 6C 24 28 48 83 C4 30 C3} $str_2d = {44 0F 11 7C 24 18 31 C0 31 DB 48 8B 6C 24 28 48 83 C4 30 C3} $str_41 = {48 89 44 24 08 48 89 5C 24 10 48 89 4C 24 18 ?? ?? ?? ?? ??} condition: ``` ----- |Resultados|de las reglas Yara| |---|---| |Nombre de la regla|Detecciones| |Mal_Ransom_Hive_2021_unpacked|Hive.exe (publicada ya desempaquetada)| ||Hive2.exe (publicada ya desempaquetada)| ||Hive3.exe desempaquetada| ||Hive4.exe (publicada ya desempaquetada)| ||Hive5.exe desempaquetada| |Win32_Ransomware_Hive|Hive.exe (publicada ya desempaquetada)| ||Hive2.exe (publicada ya desempaquetada)| ||Hive3.exe desempaquetada| ||Hive4.exe (publicada ya desempaquetada)| ||Hive5.exe desempaquetada| ||Hive9.exe (no utiliza empaquetado)| |HiveRansomware_f|Hive9.exe (no utiliza empaquetado)| **_Tabla 12. Resultado de las reglas de Yara_** ##### Reglas Sigma ``` title: hive_ransomware_DefenderStop description: 'Hive Ransomware Defender service stop with registry' date: 2021-11-22 logsource: product: windows service: sysmon detection: selection: EventID: '1' CommandLine: 'reg.exe add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f' condition: selection falsepositives: - Unknown level: high ``` ----- ``` title: hive_ransomware_vssadminCommand description: 'Hive Ransomware shadow copys delete' date: 2021-11-22 logsource: product: windows service: sysmon detection: selection: EventID: '1' CommandLine: 'vssadmin.exe delete shadows /all /quiet' condition: selection falsepositives: - Unknown level: high ``` ``` title: hive_ransomware_bcdeditCommand description: 'Hive Ransomware boot protection tamper' date: 2021-11-22 logsource: product: windows service: sysmon detection: selection: EventID: '1' CommandLine: 'bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures' condition: selection falsepositives: - Unknown level: high ``` ``` title: hive_ransomware_VSSStop description: 'Hive Ransomware VSS service stop' date: 2021-11-22 logsource: product: windows service: sysmon detection: selection: EventID: '1' CommandLine: 'sc.exe config "VSS" start= disabled' condition: selection falsepositives: - Unknown level: high ``` ----- -----