# Hive Ransomware > Tipo: **ransomware** (RaaS) · S1070 · [MITRE ATT&CK](https://attack.mitre.org/software/S1070) ## Visão Geral [[hive-ransomware|Hive]] foi um dos grupos de ransomware mais prolíficos e destrutivos de 2021-2023, operando no modelo RaaS (Ransomware-as-a-Service) com um grupo central de desenvolvedores e aproximadamente 250 afiliados. Desde sua descoberta em junho de 2021 até o desmantelamento pelo FBI em janeiro de 2023, o Hive vitimou mais de 1.500 organizacoes em mais de 80 paises, extorquindo mais de US$100 milhões em pagamentos de resgaté. O Hive era técnicamente sofisticado para um grupo RaaS: suportava criptografia multipla (Windows, Linux, VMware ESXi), implementava double extortion com exfiltração de dados antes da cifragem, e mantinha infraestrutura Tor robusta com paineis dedicados para administradores, afiliados, vitimas e um leak site chamado HiveLeaks. O split financeiro era 80/20 entre afiliado e administrador. Em julho de 2022, o FBI infiltrou clandestinamente a rede Hive por sete meses, obtendo chaves de descriptografia e disponibilizando-as a vitimas sem pagamento, prevenindo US$130 milhões em resgates. O desmantelamento em janeiro de 2023 envolveu coordenacao com policia federal alema (BKA), Netherlands National High Tech Crime Unit e Europol - representando uma das maiores operações law enforcement contra ransomware. Parte da operação e afiliados migraram para o grupo [[hunters-international|Hunters International]] após o shutdown. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona O modelo operacional do Hive separava claramente responsabilidades entre administradores e afiliados: **Acesso Inicial (afiliados):** Multiplos vetores documentados incluem login via RDP/VPN com credenciais únicas (sem MFA), exploração de vulnerabilidades FortiToken, phishing com anexos maliciosos, e exploração de servidores Exchange via ProxyShell. Credenciais eram frequentemente obtidas de Initial Access Brokers. **Movimentação Lateral:** Uso de LOLBins (certutil, bitsadmin, mshta) para minimizar detecção, reconhecimento com ADFind/NetScan, e lateral tool transfer via SMB. **Exfiltração:** Dados sensiveis eram exfiltrados antes da criptografia usando ferramentas como rclone e WinRAR para coleta e envio para servidores controlados pelo Hive. **Impacto:** Deployment do ransomware com `hive.bat` (auto-delecao) e `shadow.bat` (delecao de shadow copies), cifragem de arquivos com extensao `.hive`, e nota de resgaté `HOW_TO_DECRYPT.txt` com credenciais de acesso ao painel de negociacao Tor "Sales Department". ## Attack Flow ```mermaid graph TB A["🔑 Acesso Inicial<br/>RDP single-factor / VPN<br/>ProxyShell Exchange T1190"] --> B["🔍 Reconhecimento<br/>ADFind, NetScan<br/>T1083 Discovery"] B --> C["📤 Exfiltração<br/>rclone + WinRAR<br/>T1041 Pre-criptografia"] C --> D["🛑 Destruicao defesas<br/>LOLBins disabilitar AV<br/>T1490 Shadow copies"] D --> E["🔒 Criptografia<br/>Windows+Linux+ESXi<br/>T1486 Data Encrypted"] E --> F["💰 Double Extortion<br/>Pagamento OU publicacao<br/>HiveLeaks Tor site"] classDef access fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef exfil fill:#f39c12,color:#fff classDef defense fill:#8e44ad,color:#fff classDef encrypt fill:#2980b9,color:#fff classDef impact fill:#2c3e50,color:#fff class A access class B recon class C exfil class D defense class E encrypt class F impact ``` ## Timeline ```mermaid timeline title Hive Ransomware - Linha do Tempo 2021-06 : Primeiros ataques documentados 2021-11 : Alerta CISA/FBI - 49 vitimas EUA 2022-02 : Pesquisadores coreanos descobrem falha na criptografia 2022-07 : FBI infiltra clandestinamente a rede Hive 2022-11 : CISA Advisory - mais de 1.300 vitimas globais 2023-01-26 : FBI/DOJ anunciam desmantelamento 2023-01 : Servidores apreendidos USA, Alemanha, Holanda 2023-06 : Hunters International surge absolvendo afiliados ``` ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] ## Grupos que Usam - Administradores originais do Hive (identidade desconhecida, possívelmente Russia/Europa Leste) - [[hunters-international|Hunters International]] - sucessor documentado após shutdown ## Detecção > [!danger] Extorsao Dupla > O Hive combinava criptografia com exfiltração de dados para pressao dupla. Backups sozinhos sao insuficientes como mitigação - prevenção de exfiltração e igualmente critica. **Indicadores de comprometimento:** - Arquivos com extensao `.hive` ou nota `HOW_TO_DECRYPT.txt` em múltiplos diretorios (indicador tardio) - Uso anomalo de `rclone.exe` ou variantes renomeadas transferindo grandes volumes de dados para provedores cloud externos - Execução de `shadow.bat` ou comandos `vssadmin.exe delete shadows /all` por processos nao esperados - Autenticacoes RDP de geolocalidades incomuns ou fora do horario padrao - Exploração de Exchange via ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) - Instalacao de FortiToken ou VPN clients nao autorizados **Regras Sigma recomendadas:** - `win_shadow_copies_deletion.yml` - delecao de shadow copies - `net_susp_rdp_brute_force.yml` - brute force RDP anomalo - `proc_creation_win_rclone_exec.yml` - execução rclone ## Relevância LATAM/Brasil O Hive afetou organizacoes brasileiras diretamente: hospitais e clinicas no Brasil foram alvos de afiliados do Hive, e múltiplas empresas brasileiras de medio porte sofreram ataques em 2021-2022. O setor de saúde brasileiro - com sistemas frequentemente desatualizados e sem budget adequado de segurança - foi alvo recorrente. O modelo RaaS do Hive tornava acessivel a operadores menos tecnicos o comprometimento de organizacoes LATAM, com afiliados adquirindo acesso inicial via brokers especializados no mercado clandestino. Mesmo após o desmantelamento do Hive, seus afiliados migraram para [[hunters-international|Hunters International]], [[akira-ransomware|Akira]] e outras operações RaaS que continuam atacando alvos brasileiros. Os IoCs e TTPs do Hive sao referência para detecção de ransomware RaaS em geral na regiao. ## Referências - [MITRE ATT&CK - S1070](https://attack.mitre.org/software/S1070) - [FBI - Hive Ransomware Disrupted (DOJ)](https://www.justice.gov/archives/opa/pr/us-department-justice-disrupts-hive-ransomware-variant) - [CISA Advisory AA22-321A - Hive Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-321a) - [Wikipedia - Hive Ransomware Group](https://en.wikipedia.org/wiki/Hive_(ransomware))