Hive ransomware: sequenza di attacco 

3. Luglio 2022
| Non ci sono commenti
Hive ransomware: sequenza di attacco

Condividi post

Il corso di un attacco ransomware tramite Hive è stato esaminato dal team forense di Varonis durante l'implementazione di un cliente. L'attacco e le azioni dei criminali informatici sono stati documentati in questo modo.

Scoperto per la prima volta nel giugno 2021, Hive viene utilizzato come ransomware-as-a-service dai criminali informatici per attaccare strutture sanitarie, organizzazioni non profit, rivenditori, servizi pubblici e altri settori in tutto il mondo. Più comunemente, usano tattiche, tecniche e procedure (TTP) ransomware comuni per compromettere i dispositivi delle vittime. Tra gli altri, e-mail di phishing con allegati dannosi, credenziali VPN rubate e vulnerabilità vengono utilizzate per infiltrarsi nei sistemi presi di mira. Durante una visita presso un cliente, il team forense di Varonis ha indagato su tale attacco ed è stato in grado di documentare le azioni dei criminali informatici.

Fase 1: ProxyShell e WebShell

In primo luogo, gli aggressori hanno sfruttato le note vulnerabilità ProxyShell dei server Exchange e quindi hanno inserito uno script backdoor dannoso (webshell) in una directory accessibile pubblicamente sul server Exchange. Questi script Web potrebbero quindi eseguire codice PowerShell dannoso attraverso il server compromesso con privilegi SYSTEM.

Fase 2: Colpo di cobalto

Il codice dannoso di PowerShell ha scaricato stager aggiuntivi da un server Command & Control remoto connesso al framework Cobalt Strike. Gli stager non sono stati scritti nel file system, ma eseguiti in memoria.

Fase 3: Mimikatz e Pass-The-Hash

Utilizzando i privilegi di SISTEMA, gli aggressori hanno creato un nuovo amministratore di sistema denominato "utente" e sono passati alla fase di dump delle credenziali, dove hanno distribuito Mimikatz. Utilizzando il suo modulo "logonPasswords", le password e gli hash NTLM degli account connessi al sistema potrebbero essere estratti e i risultati salvati in un file di testo sul sistema locale. Una volta ottenuto l'hash NTLM dell'amministratore, gli aggressori hanno utilizzato la tecnica pass-the-hash per ottenere un accesso altamente privilegiato ad altre risorse sulla rete.

Fase 4: ricerca di informazioni sensibili

Successivamente, gli aggressori hanno condotto estese attività di ricognizione in tutta la rete. Oltre alla ricerca di file contenenti "password" nei loro nomi, sono stati utilizzati anche scanner di rete e sono stati raccolti gli indirizzi IP della rete e i nomi dei dispositivi, seguiti da RDP per i server di backup e altre risorse chiave.

Fase 5: Distribuzione del ransomware

Infine, un payload di malware personalizzato scritto in Golang chiamato Windows.exe è stato distribuito ed eseguito su diversi dispositivi. Qui sono state eseguite diverse operazioni, come l'eliminazione delle copie shadow, la disattivazione dei prodotti di sicurezza, l'eliminazione dei registri eventi di Windows e la rimozione dei diritti di accesso. In questo modo è stato garantito un processo di crittografia fluido ed esteso. Durante la fase di crittografia è stata inoltre creata una nota di richiesta di ransomware.

Aumento estremo degli attacchi ransomware

Gli attacchi ransomware sono aumentati in modo significativo negli ultimi anni e rimangono il metodo preferito dai criminali informatici motivati ​​finanziariamente. Gli effetti di un attacco possono essere devastanti: può danneggiare la reputazione di un'azienda, interrompere in modo permanente le normali operazioni e portare a una perdita temporanea, possibilmente permanente, di dati sensibili, nonché sanzioni significative ai sensi del GDPR.

Sebbene rilevare e rispondere a tali incidenti possa essere difficile, la maggior parte delle attività dannose può essere prevenuta con i giusti strumenti di sicurezza, piani di risposta agli incidenti in atto e vulnerabilità note corrette. Il team forense di Varonis raccomanda pertanto le seguenti azioni:

  • Applicare al server Exchange gli aggiornamenti cumulativi (CU) e gli aggiornamenti di sicurezza (SU) di Exchange più recenti forniti da Microsoft.
  • Imporre l'uso di password complesse e richiedere agli utenti di cambiare regolarmente le proprie password.
  • Utilizzare la soluzione Microsoft LAPS per revocare le autorizzazioni di amministratore locale dagli account di dominio (approccio con privilegi minimi). Verificare periodicamente la presenza di account utente inattivi e rimuoverli.
  • Blocca l'uso di SMBv1 e utilizza la firma SMB per proteggerti dagli attacchi pass-the-hash.
  • Limita i diritti di accesso dei dipendenti ai file di cui hanno effettivamente bisogno per il loro lavoro.
  • Rileva e previeni automaticamente le modifiche al controllo degli accessi che violano le tue policy.
  • Istruisci i tuoi dipendenti sui principi della sicurezza informatica. Una regolare formazione di sensibilizzazione deve essere una parte fondamentale della cultura aziendale.
  • Stabilire pratiche di sicurezza di base e codici di condotta che descrivono come gestire e proteggere le informazioni aziendali e dei clienti e altri dati importanti.
Altro su Varonis.com

 

A proposito di Varoni

Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , ,