O curso de um ataque de ransomware usando o Hive foi investigado pela equipe forense da Varonis durante uma implantação no cliente. O ataque e as ações dos cibercriminosos foram documentados dessa forma.
Descoberto pela primeira vez em junho de 2021, o Hive é usado como ransomware como serviço por cibercriminosos para atacar instalações de saúde, organizações sem fins lucrativos, varejistas, serviços públicos e outros setores em todo o mundo. Mais comumente, eles usam táticas, técnicas e procedimentos comuns de ransomware (TTPs) para comprometer os dispositivos das vítimas. Entre outros, e-mails de phishing com anexos maliciosos, credenciais de VPN roubadas e vulnerabilidades são usados para se infiltrar nos sistemas visados. Durante uma visita a um cliente, a equipe forense de Varonis investigou tal ataque e conseguiu documentar as ações dos cibercriminosos.
Fase 1: ProxyShell e WebShell
Primeiro, os invasores exploraram as vulnerabilidades conhecidas do ProxyShell dos servidores Exchange e, em seguida, colocaram um script backdoor malicioso (webshell) em um diretório acessível ao público no servidor Exchange. Esses scripts da Web podem então executar código malicioso do PowerShell por meio do servidor comprometido com privilégios de SISTEMA.
Estágio 2: Golpe de Cobalto
O código malicioso do PowerShell baixou stagers adicionais de um servidor remoto de comando e controle conectado à estrutura do Cobalt Strike. Os stagers não foram gravados no sistema de arquivos, mas executados na memória.
Fase 3: Mimikatz e Pass-The-Hash
Usando privilégios de SISTEMA, os invasores criaram um novo administrador de sistema chamado "usuário" e prosseguiram para a fase de despejo de credenciais, onde implantaram o Mimikatz. Usando seu módulo "logonPasswords", as senhas e hashes NTLM das contas conectadas ao sistema podem ser extraídas e os resultados salvos em um arquivo de texto no sistema local. Depois que os invasores obtiveram o hash NTLM do administrador, eles usaram a técnica de passagem de hash para obter acesso altamente privilegiado a outros recursos na rede.
Fase 4: pesquisar informações confidenciais
Em seguida, os atacantes conduziram extensas atividades de reconhecimento em toda a rede. Além de procurar arquivos contendo "senha" em seus nomes, também foram usados scanners de rede e coletados os endereços IP da rede e nomes de dispositivos, seguidos de RDPs para os servidores de backup e outros recursos importantes.
Estágio 5: implantação de ransomware
Por fim, uma carga de malware personalizada escrita em Golang chamada Windows.exe foi distribuída e executada em diferentes dispositivos. Várias operações foram executadas aqui, como exclusão de cópias de sombra, desativação de produtos de segurança, exclusão de logs de eventos do Windows e remoção de direitos de acesso. Desta forma, um processo de criptografia suave e extenso foi garantido. Uma nota de reivindicação de ransomware também foi criada durante a fase de criptografia.
Aumento extremo de ataques de ransomware
Os ataques de ransomware aumentaram significativamente nos últimos anos e continuam sendo o método preferido de cibercriminosos motivados financeiramente. Os efeitos de um ataque podem ser devastadores: pode prejudicar a reputação de uma empresa, interromper permanentemente as operações regulares e levar a uma perda temporária, possivelmente permanente, de dados confidenciais, além de multas significativas de acordo com o GDPR.
Embora detectar e responder a esses incidentes possa ser um desafio, a maioria das atividades maliciosas pode ser evitada com as ferramentas de segurança certas, planos de resposta a incidentes implementados e vulnerabilidades conhecidas corrigidas. A equipe forense de Varonis, portanto, recomenda as seguintes ações:
- Corrija o servidor Exchange para as últimas atualizações cumulativas (CU) e atualizações de segurança (SU) do Exchange fornecidas pela Microsoft.
- Imponha o uso de senhas complexas e exija que os usuários alterem suas senhas regularmente.
- Use a solução Microsoft LAPS para revogar permissões de administrador local de contas de domínio (abordagem de privilégio mínimo). Verifique periodicamente se há contas de usuário inativas e remova-as.
- Bloqueie o uso de SMBv1 e use a assinatura SMB para se proteger contra ataques pass-the-hash.
- Limite os direitos de acesso dos funcionários aos arquivos que eles realmente precisam para seu trabalho.
- Detecte e evite automaticamente alterações de controle de acesso que violem suas políticas.
- Eduque seus funcionários sobre os princípios de segurança cibernética. O treinamento regular de conscientização deve ser uma parte fundamental da cultura corporativa.
- Estabeleça práticas básicas de segurança e códigos de conduta que descrevam como lidar e proteger as informações da empresa e do cliente e outros dados importantes.
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,