Hive Ransomware: sequência de ataque 

3. julho 2022
| Sem comentários
Hive Ransomware: sequência de ataque

Compartilhar postagem

O curso de um ataque de ransomware usando o Hive foi investigado pela equipe forense da Varonis durante uma implantação no cliente. O ataque e as ações dos cibercriminosos foram documentados dessa forma.

Descoberto pela primeira vez em junho de 2021, o Hive é usado como ransomware como serviço por cibercriminosos para atacar instalações de saúde, organizações sem fins lucrativos, varejistas, serviços públicos e outros setores em todo o mundo. Mais comumente, eles usam táticas, técnicas e procedimentos comuns de ransomware (TTPs) para comprometer os dispositivos das vítimas. Entre outros, e-mails de phishing com anexos maliciosos, credenciais de VPN roubadas e vulnerabilidades são usados ​​para se infiltrar nos sistemas visados. Durante uma visita a um cliente, a equipe forense de Varonis investigou tal ataque e conseguiu documentar as ações dos cibercriminosos.

Fase 1: ProxyShell e WebShell

Primeiro, os invasores exploraram as vulnerabilidades conhecidas do ProxyShell dos servidores Exchange e, em seguida, colocaram um script backdoor malicioso (webshell) em um diretório acessível ao público no servidor Exchange. Esses scripts da Web podem então executar código malicioso do PowerShell por meio do servidor comprometido com privilégios de SISTEMA.

Estágio 2: Golpe de Cobalto

O código malicioso do PowerShell baixou stagers adicionais de um servidor remoto de comando e controle conectado à estrutura do Cobalt Strike. Os stagers não foram gravados no sistema de arquivos, mas executados na memória.

Fase 3: Mimikatz e Pass-The-Hash

Usando privilégios de SISTEMA, os invasores criaram um novo administrador de sistema chamado "usuário" e prosseguiram para a fase de despejo de credenciais, onde implantaram o Mimikatz. Usando seu módulo "logonPasswords", as senhas e hashes NTLM das contas conectadas ao sistema podem ser extraídas e os resultados salvos em um arquivo de texto no sistema local. Depois que os invasores obtiveram o hash NTLM do administrador, eles usaram a técnica de passagem de hash para obter acesso altamente privilegiado a outros recursos na rede.

Fase 4: pesquisar informações confidenciais

Em seguida, os atacantes conduziram extensas atividades de reconhecimento em toda a rede. Além de procurar arquivos contendo "senha" em seus nomes, também foram usados ​​scanners de rede e coletados os endereços IP da rede e nomes de dispositivos, seguidos de RDPs para os servidores de backup e outros recursos importantes.

Estágio 5: implantação de ransomware

Por fim, uma carga de malware personalizada escrita em Golang chamada Windows.exe foi distribuída e executada em diferentes dispositivos. Várias operações foram executadas aqui, como exclusão de cópias de sombra, desativação de produtos de segurança, exclusão de logs de eventos do Windows e remoção de direitos de acesso. Desta forma, um processo de criptografia suave e extenso foi garantido. Uma nota de reivindicação de ransomware também foi criada durante a fase de criptografia.

Aumento extremo de ataques de ransomware

Os ataques de ransomware aumentaram significativamente nos últimos anos e continuam sendo o método preferido de cibercriminosos motivados financeiramente. Os efeitos de um ataque podem ser devastadores: pode prejudicar a reputação de uma empresa, interromper permanentemente as operações regulares e levar a uma perda temporária, possivelmente permanente, de dados confidenciais, além de multas significativas de acordo com o GDPR.

Embora detectar e responder a esses incidentes possa ser um desafio, a maioria das atividades maliciosas pode ser evitada com as ferramentas de segurança certas, planos de resposta a incidentes implementados e vulnerabilidades conhecidas corrigidas. A equipe forense de Varonis, portanto, recomenda as seguintes ações:

  • Corrija o servidor Exchange para as últimas atualizações cumulativas (CU) e atualizações de segurança (SU) do Exchange fornecidas pela Microsoft.
  • Imponha o uso de senhas complexas e exija que os usuários alterem suas senhas regularmente.
  • Use a solução Microsoft LAPS para revogar permissões de administrador local de contas de domínio (abordagem de privilégio mínimo). Verifique periodicamente se há contas de usuário inativas e remova-as.
  • Bloqueie o uso de SMBv1 e use a assinatura SMB para se proteger contra ataques pass-the-hash.
  • Limite os direitos de acesso dos funcionários aos arquivos que eles realmente precisam para seu trabalho.
  • Detecte e evite automaticamente alterações de controle de acesso que violem suas políticas.
  • Eduque seus funcionários sobre os princípios de segurança cibernética. O treinamento regular de conscientização deve ser uma parte fundamental da cultura corporativa.
  • Estabeleça práticas básicas de segurança e códigos de conduta que descrevam como lidar e proteger as informações da empresa e do cliente e outros dados importantes.
Mais em Varonis.com

 

Sobre Varonis

Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , ,