Il corso di un attacco ransomware tramite Hive è stato esaminato dal team forense di Varonis durante l'implementazione di un cliente. L'attacco e le azioni dei criminali informatici sono stati documentati in questo modo.
Scoperto per la prima volta nel giugno 2021, Hive viene utilizzato come ransomware-as-a-service dai criminali informatici per attaccare strutture sanitarie, organizzazioni non profit, rivenditori, servizi pubblici e altri settori in tutto il mondo. Più comunemente, usano tattiche, tecniche e procedure (TTP) ransomware comuni per compromettere i dispositivi delle vittime. Tra gli altri, e-mail di phishing con allegati dannosi, credenziali VPN rubate e vulnerabilità vengono utilizzate per infiltrarsi nei sistemi presi di mira. Durante una visita presso un cliente, il team forense di Varonis ha indagato su tale attacco ed è stato in grado di documentare le azioni dei criminali informatici.
Fase 1: ProxyShell e WebShell
In primo luogo, gli aggressori hanno sfruttato le note vulnerabilità ProxyShell dei server Exchange e quindi hanno inserito uno script backdoor dannoso (webshell) in una directory accessibile pubblicamente sul server Exchange. Questi script Web potrebbero quindi eseguire codice PowerShell dannoso attraverso il server compromesso con privilegi SYSTEM.
Fase 2: Colpo di cobalto
Il codice dannoso di PowerShell ha scaricato stager aggiuntivi da un server Command & Control remoto connesso al framework Cobalt Strike. Gli stager non sono stati scritti nel file system, ma eseguiti in memoria.
Fase 3: Mimikatz e Pass-The-Hash
Utilizzando i privilegi di SISTEMA, gli aggressori hanno creato un nuovo amministratore di sistema denominato "utente" e sono passati alla fase di dump delle credenziali, dove hanno distribuito Mimikatz. Utilizzando il suo modulo "logonPasswords", le password e gli hash NTLM degli account connessi al sistema potrebbero essere estratti e i risultati salvati in un file di testo sul sistema locale. Una volta ottenuto l'hash NTLM dell'amministratore, gli aggressori hanno utilizzato la tecnica pass-the-hash per ottenere un accesso altamente privilegiato ad altre risorse sulla rete.
Fase 4: ricerca di informazioni sensibili
Successivamente, gli aggressori hanno condotto estese attività di ricognizione in tutta la rete. Oltre alla ricerca di file contenenti "password" nei loro nomi, sono stati utilizzati anche scanner di rete e sono stati raccolti gli indirizzi IP della rete e i nomi dei dispositivi, seguiti da RDP per i server di backup e altre risorse chiave.
Fase 5: Distribuzione del ransomware
Infine, un payload di malware personalizzato scritto in Golang chiamato Windows.exe è stato distribuito ed eseguito su diversi dispositivi. Qui sono state eseguite diverse operazioni, come l'eliminazione delle copie shadow, la disattivazione dei prodotti di sicurezza, l'eliminazione dei registri eventi di Windows e la rimozione dei diritti di accesso. In questo modo è stato garantito un processo di crittografia fluido ed esteso. Durante la fase di crittografia è stata inoltre creata una nota di richiesta di ransomware.
Aumento estremo degli attacchi ransomware
Gli attacchi ransomware sono aumentati in modo significativo negli ultimi anni e rimangono il metodo preferito dai criminali informatici motivati finanziariamente. Gli effetti di un attacco possono essere devastanti: può danneggiare la reputazione di un'azienda, interrompere in modo permanente le normali operazioni e portare a una perdita temporanea, possibilmente permanente, di dati sensibili, nonché sanzioni significative ai sensi del GDPR.
Sebbene rilevare e rispondere a tali incidenti possa essere difficile, la maggior parte delle attività dannose può essere prevenuta con i giusti strumenti di sicurezza, piani di risposta agli incidenti in atto e vulnerabilità note corrette. Il team forense di Varonis raccomanda pertanto le seguenti azioni:
- Applicare al server Exchange gli aggiornamenti cumulativi (CU) e gli aggiornamenti di sicurezza (SU) di Exchange più recenti forniti da Microsoft.
- Imporre l'uso di password complesse e richiedere agli utenti di cambiare regolarmente le proprie password.
- Utilizzare la soluzione Microsoft LAPS per revocare le autorizzazioni di amministratore locale dagli account di dominio (approccio con privilegi minimi). Verificare periodicamente la presenza di account utente inattivi e rimuoverli.
- Blocca l'uso di SMBv1 e utilizza la firma SMB per proteggerti dagli attacchi pass-the-hash.
- Limita i diritti di accesso dei dipendenti ai file di cui hanno effettivamente bisogno per il loro lavoro.
- Rileva e previeni automaticamente le modifiche al controllo degli accessi che violano le tue policy.
- Istruisci i tuoi dipendenti sui principi della sicurezza informatica. Una regolare formazione di sensibilizzazione deve essere una parte fondamentale della cultura aziendale.
- Stabilire pratiche di sicurezza di base e codici di condotta che descrivono come gestire e proteggere le informazioni aziendali e dei clienti e altri dati importanti.
A proposito di Varoni Fin dalla sua fondazione nel 2005, Varonis ha adottato un approccio diverso nei confronti della maggior parte dei fornitori di sicurezza IT ponendo i dati aziendali archiviati sia on-premise che nel cloud al centro della sua strategia di sicurezza: file ed e-mail sensibili, informazioni riservate su clienti, pazienti e pazienti Documenti dei dipendenti, documenti finanziari, piani strategici e di prodotto e altra proprietà intellettuale. La Varonis Data Security Platform (DSP) rileva le minacce interne e gli attacchi informatici analizzando i dati, l'attività dell'account, la telemetria e il comportamento degli utenti, previene o mitiga le violazioni della sicurezza dei dati bloccando i dati sensibili, regolamentati e obsoleti e mantiene uno stato sicuro dei sistemi attraverso un'efficiente automazione.,