Su modus operandi consiste en infectar los equipos con el malware Conti, el cual opera con hasta 32 subprocesos lógicos individuales, lo que lo hace mucho más rápido que la mayoría de los virus de su tipo.
[19] El miembro más antiguo es conocido por los alias Stern o Demon y actúa como director ejecutivo.
Mango le dijo a Stern en un mensaje que había 62 personas en el equipo principal.
[20] Durante la invasión rusa de Ucrania en 2022 Conti Group anunció su apoyo a Rusia y amenazó con implementar "medidas de represalia" si se lanzaban ciberataques contra el país.
Un miembro conocido como Patrick repitió varias afirmaciones falsas hechas por Putin sobre Ucrania.
También se encontraron mensajes que contenían homofobia, misoginia y referencias al abuso infantil.
Hive utiliza múltiples mecanismos para comprometer las redes comerciales, incluidos los correos electrónicos de phishing con archivos adjuntos maliciosos para obtener acceso y el Protocolo de Escritorio Remoto (RDP en Inglés) para moverse una vez en la red.
Entre las víctimas se encontraba el Memorial Healthcare System, quien se vio forzado a que sus hospitales usaran expedientes de papel, cancelar procedimientos y derivar pacientes a otros centros no vulnerados.
De esas al menos 104 terminaron pagando el rescate por recuperar sus sistemas.
Según su información, Hive utilizaba activamente los accesos de ataque iniciales proporcionados por Conti.
[45] El Ministerio de Hacienda confirmó que la información publicada hasta el momento correspondía a información del Servicio Nacional de Aduanas empleada para insumos y soporte.
Horas después del comunicado de Hacienda el micrositio del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) sufrió un defacement en el cual se dejó el mensaje: "Te saludamos desde Conti, búscanos en tu red".
[47][48][49] Jorge Mora Flores, director de Gobernanza Digital de Costa Rica indicó que a raíz del ataque, y porque el servidor afectado albergaba otras páginas se tomó la decisión de apagarlo mientras se realizaban las verificaciones correspondientes para determinar hasta qué punto se logró vulnerar la seguridad.
El informe preliminar del Gobierno apuntaba que fue sustraída información como correos electrónicos, datos sobre pago de pensiones y ayudas sociales de ambas instituciones.
[62] Antes del mediodía el MICITT realizó una conferencia de prensa donde el Gobierno reiteró su posición de no pagar el rescate exigido por Conti Group, por lo que horas después el grupo criminal anunció que empezaría a publicar de inmediato la información sustraída, instando a los ciberdelincuentes costarricenses a aprovecharla para cometer phishing.
[63][64] El presidente Carlos Alvarado Quesada dio ese día su primera declaración pública sobre el hackeo.
[65] En horas de la tarde el Gobierno emitió una directriz dirigida al sector público con el fin de resguardar el correcto funcionamiento, confidencialidad y ciberseguridad del aparato público.
Además de aplicar cualquier alerta dada por el CSIRT-CR, según corresponda a su institución.
El grupo anunció que dejaría de anunciar sus hackeos en su página en la red profunda, para enfocarse en solicitar el rescate respectivo por la información sustraída y cifrada.
[84] Como consecuencia, una cifra aún indeterminada de asegurados vio sus citas médicas canceladas.
[86][87] En total en el primer día de afectación, 4871 usuarios perdieron sus citas médicas.
Asimismo, la CCSS reportó que la mayor afectación se experimentaba en el servicio de Laboratorio, donde solo el 45 % del servicio en la institución funcionaba con normalidad, 48 % tenía afectación parcial y 7 % presentaba retrasos.
[90] Asimismo, Ramos Chaves reveló que las afectaciones por el ataque eran 27 veces mayores a lo reportado el primer día, pues había 800 servidores infectados y más de 9000 terminales de usuario final afectadas, por lo que los sistemas no podrían ser recuperados en la primera semana como se tenía previsto.
[90] El 2 de junio, Hive Ransomware Group solicitó $5 millones en bitcoin para que la CCSS pudiera recuperar sus servicios.
Asimismo, anunció que los trabajadores independientes y asegurados voluntarios no podrían pagar sus cuotas mensuales debido a la imposibilidad de realizarles la factura correspondiente.