Hive ransomware: secuencia de ataque 

3. julio 2022
| No hay comentarios
Hive ransomware: secuencia de ataque

Compartir publicación

El curso de un ataque de ransomware usando Hive fue investigado por el equipo forense de Varonis durante una implementación del cliente. El ataque y las acciones de los ciberdelincuentes quedaron así documentados.

Descubierto por primera vez en junio de 2021, los ciberdelincuentes utilizan Hive como ransomware como servicio para atacar instalaciones de atención médica, organizaciones sin fines de lucro, minoristas, servicios públicos y otras industrias en todo el mundo. Por lo general, utilizan tácticas, técnicas y procedimientos (TTP) comunes de ransomware para comprometer los dispositivos de las víctimas. Entre otros, se utilizan correos electrónicos de phishing con archivos adjuntos maliciosos, credenciales de VPN robadas y vulnerabilidades para infiltrarse en los sistemas objetivo. Durante una visita a un cliente, el equipo forense de Varonis investigó un ataque de este tipo y pudo documentar las acciones de los ciberdelincuentes.

Fase 1: ProxyShell y WebShell

Primero, los atacantes explotaron las vulnerabilidades conocidas de ProxyShell de los servidores de Exchange y luego colocaron un script de puerta trasera malicioso (webshell) en un directorio de acceso público en el servidor de Exchange. Estos scripts web podrían ejecutar código PowerShell malicioso a través del servidor comprometido con privilegios de SISTEMA.

Etapa 2: Golpe de cobalto

El código malicioso de PowerShell descargó etapas adicionales de un servidor de Comando y Control remoto conectado al marco Cobalt Strike. Los escenarios no se escribieron en el sistema de archivos, sino que se ejecutaron en la memoria.

Fase 3: Mimikatz y Pass-The-Hash

Usando los privilegios del SISTEMA, los atacantes crearon un nuevo administrador del sistema llamado "usuario" y procedieron a la fase de volcado de credenciales, donde implementaron Mimikatz. Usando su módulo "logonPasswords", las contraseñas y los hash NTLM de las cuentas iniciadas en el sistema podrían extraerse y los resultados guardarse en un archivo de texto en el sistema local. Una vez que los atacantes tenían el hash NTLM del administrador, utilizaron la técnica pass-the-hash para obtener acceso altamente privilegiado a otros recursos en la red.

Fase 4: Búsqueda de información sensible

A continuación, los atacantes realizaron amplias actividades de reconocimiento en toda la red. Además de buscar archivos que contengan "contraseña" en sus nombres, también se utilizaron escáneres de red y se recopilaron las direcciones IP de la red y los nombres de los dispositivos, seguidos de RDP a los servidores de respaldo y otros recursos clave.

Etapa 5: Despliegue de ransomware

Finalmente, se distribuyó y ejecutó en diferentes dispositivos una carga útil de malware personalizada escrita en Golang llamada Windows.exe. Aquí se realizaron varias operaciones, como la eliminación de instantáneas, la desactivación de productos de seguridad, la eliminación de registros de eventos de Windows y la eliminación de derechos de acceso. De esta forma, se garantizaba un proceso de encriptación fluido y extenso. También se creó una nota de reclamación de ransomware durante la fase de cifrado.

Aumento extremo de los ataques de ransomware

Los ataques de ransomware han aumentado significativamente en los últimos años y siguen siendo el método preferido de los ciberdelincuentes con motivaciones financieras. Los efectos de un ataque pueden ser devastadores: pueden dañar la reputación de una empresa, interrumpir de forma permanente las operaciones regulares y provocar una pérdida temporal, posiblemente permanente, de datos confidenciales, así como multas significativas según el RGPD.

Aunque detectar y responder a tales incidentes puede ser un desafío, la mayoría de las actividades maliciosas se pueden prevenir con las herramientas de seguridad adecuadas, los planes de respuesta a incidentes y las vulnerabilidades conocidas parcheadas. Por lo tanto, el equipo forense de Varonis recomienda las siguientes acciones:

  • Parche el servidor de Exchange con las actualizaciones acumulativas (CU) y las actualizaciones de seguridad (SU) de Exchange más recientes proporcionadas por Microsoft.
  • Exija el uso de contraseñas complejas y solicite a los usuarios que cambien sus contraseñas periódicamente.
  • Utilice la solución LAPS de Microsoft para revocar los permisos de administrador local de las cuentas de dominio (enfoque de privilegios mínimos). Verifique periódicamente las cuentas de usuario inactivas y elimínelas.
  • Bloquee el uso de SMBv1 y use la firma SMB para protegerse contra los ataques pass-the-hash.
  • Limite los derechos de acceso de los empleados a los archivos que realmente necesitan para su trabajo.
  • Detecte y evite automáticamente los cambios de control de acceso que violen sus políticas.
  • Eduque a sus empleados sobre los principios de ciberseguridad. La formación periódica de concienciación debe ser una parte fundamental de la cultura corporativa.
  • Establezca prácticas básicas de seguridad y códigos de conducta que describan cómo manejar y proteger la información de la empresa y del cliente y otros datos importantes.
Más en Varonis.com

 

Sobre Varonis

Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , ,