El curso de un ataque de ransomware usando Hive fue investigado por el equipo forense de Varonis durante una implementación del cliente. El ataque y las acciones de los ciberdelincuentes quedaron así documentados.
Descubierto por primera vez en junio de 2021, los ciberdelincuentes utilizan Hive como ransomware como servicio para atacar instalaciones de atención médica, organizaciones sin fines de lucro, minoristas, servicios públicos y otras industrias en todo el mundo. Por lo general, utilizan tácticas, técnicas y procedimientos (TTP) comunes de ransomware para comprometer los dispositivos de las víctimas. Entre otros, se utilizan correos electrónicos de phishing con archivos adjuntos maliciosos, credenciales de VPN robadas y vulnerabilidades para infiltrarse en los sistemas objetivo. Durante una visita a un cliente, el equipo forense de Varonis investigó un ataque de este tipo y pudo documentar las acciones de los ciberdelincuentes.
Fase 1: ProxyShell y WebShell
Primero, los atacantes explotaron las vulnerabilidades conocidas de ProxyShell de los servidores de Exchange y luego colocaron un script de puerta trasera malicioso (webshell) en un directorio de acceso público en el servidor de Exchange. Estos scripts web podrían ejecutar código PowerShell malicioso a través del servidor comprometido con privilegios de SISTEMA.
Etapa 2: Golpe de cobalto
El código malicioso de PowerShell descargó etapas adicionales de un servidor de Comando y Control remoto conectado al marco Cobalt Strike. Los escenarios no se escribieron en el sistema de archivos, sino que se ejecutaron en la memoria.
Fase 3: Mimikatz y Pass-The-Hash
Usando los privilegios del SISTEMA, los atacantes crearon un nuevo administrador del sistema llamado "usuario" y procedieron a la fase de volcado de credenciales, donde implementaron Mimikatz. Usando su módulo "logonPasswords", las contraseñas y los hash NTLM de las cuentas iniciadas en el sistema podrían extraerse y los resultados guardarse en un archivo de texto en el sistema local. Una vez que los atacantes tenían el hash NTLM del administrador, utilizaron la técnica pass-the-hash para obtener acceso altamente privilegiado a otros recursos en la red.
Fase 4: Búsqueda de información sensible
A continuación, los atacantes realizaron amplias actividades de reconocimiento en toda la red. Además de buscar archivos que contengan "contraseña" en sus nombres, también se utilizaron escáneres de red y se recopilaron las direcciones IP de la red y los nombres de los dispositivos, seguidos de RDP a los servidores de respaldo y otros recursos clave.
Etapa 5: Despliegue de ransomware
Finalmente, se distribuyó y ejecutó en diferentes dispositivos una carga útil de malware personalizada escrita en Golang llamada Windows.exe. Aquí se realizaron varias operaciones, como la eliminación de instantáneas, la desactivación de productos de seguridad, la eliminación de registros de eventos de Windows y la eliminación de derechos de acceso. De esta forma, se garantizaba un proceso de encriptación fluido y extenso. También se creó una nota de reclamación de ransomware durante la fase de cifrado.
Aumento extremo de los ataques de ransomware
Los ataques de ransomware han aumentado significativamente en los últimos años y siguen siendo el método preferido de los ciberdelincuentes con motivaciones financieras. Los efectos de un ataque pueden ser devastadores: pueden dañar la reputación de una empresa, interrumpir de forma permanente las operaciones regulares y provocar una pérdida temporal, posiblemente permanente, de datos confidenciales, así como multas significativas según el RGPD.
Aunque detectar y responder a tales incidentes puede ser un desafío, la mayoría de las actividades maliciosas se pueden prevenir con las herramientas de seguridad adecuadas, los planes de respuesta a incidentes y las vulnerabilidades conocidas parcheadas. Por lo tanto, el equipo forense de Varonis recomienda las siguientes acciones:
- Parche el servidor de Exchange con las actualizaciones acumulativas (CU) y las actualizaciones de seguridad (SU) de Exchange más recientes proporcionadas por Microsoft.
- Exija el uso de contraseñas complejas y solicite a los usuarios que cambien sus contraseñas periódicamente.
- Utilice la solución LAPS de Microsoft para revocar los permisos de administrador local de las cuentas de dominio (enfoque de privilegios mínimos). Verifique periódicamente las cuentas de usuario inactivas y elimínelas.
- Bloquee el uso de SMBv1 y use la firma SMB para protegerse contra los ataques pass-the-hash.
- Limite los derechos de acceso de los empleados a los archivos que realmente necesitan para su trabajo.
- Detecte y evite automáticamente los cambios de control de acceso que violen sus políticas.
- Eduque a sus empleados sobre los principios de ciberseguridad. La formación periódica de concienciación debe ser una parte fundamental de la cultura corporativa.
- Establezca prácticas básicas de seguridad y códigos de conducta que describan cómo manejar y proteger la información de la empresa y del cliente y otros datos importantes.
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,