Los piratas informáticos de Hive están explotando los servidores de Microsoft Exchange en una ola de ransomware

captura de pantalla-2022-04-21-a-11-37-50.png

El grupo de amenazas Hive se dirige a los servidores Microsoft Exchange vulnerables para implementar ransomware.

Descubierto por primera vez en junio de 2021, Hive es un modelo de Ransomware-as-a-Service (RaaS) en el que los atacantes cibernéticos pueden utilizar la variedad de ransomware Hive en los ataques.

Los actores de amenazas operan un sitio de fugas, accesible a través de una dirección .onion, cuyo objetivo es ‘nombrar y avergonzar’ a las víctimas del ransomware. Además, los operadores de malware practican la doble extorsión, en la que se roban datos corporativos confidenciales de una organización víctima antes del cifrado del disco.

Si una víctima se niega a pagar por una clave de descifrado, los atacantes cibernéticos pegarán su nombre en el sitio de la fuga y configurarán un temporizador antes de que se filtren los datos. Esto aumenta la presión y da a los atacantes más oportunidades de extorsión.

Las víctimas anteriores de Hive incluyen entidades sin fines de lucro, el sector energético, compañías financieras y proveedores de atención médica.

«Si bien algunos grupos de ransomware que operan como redes RaaS afirman evitar apuntar a sectores específicos como hospitales u otras industrias críticas para evitar causar daños a las personas, los ataques de Hive contra los proveedores de atención médica en 2021 demostraron que los operadores detrás de esto no tienen en cuenta tales acciones humanitarias». consideraciones», dijo Trend Micro en una investigación del grupo de marzo de 2022.

El FBI emitió una alerta sobre la actividad de Hive en agosto de 2021, seguida por el HHS en abril (.PDF), quien advirtió que el equipo de RaaS es un «grupo de ransomware excepcionalmente agresivo y motivado financieramente».

En una nueva investigación publicada el 19 de abril por Varonis Forensics Team, un reciente incidente de ransomware ha permitido a la empresa examinar en profundidad las tácticas y procedimientos del grupo.

Se infiltraron las redes de un cliente anónimo y el ataque se completó en 72 horas.

La intrusión comenzó con la explotación de ProxyShell, un conjunto de vulnerabilidades críticas en Microsoft Exchange Server reparadas por el proveedor en 2021. Las fallas de seguridad podrían llevar al compromiso remoto y total de los servidores de Exchange.

Una vez explotado, se ejecuta una puerta trasera webshell para mantener la persistencia y otorgar al grupo de ataque una ruta al servidor para implementar el código de Powershell con privilegios de nivel de SISTEMA.

Hive lanza una baliza Cobalt Strike en el siguiente paso y crea una nueva cuenta de usuario administrador. Mimikatz entra en juego y se roba el hash NTLM del administrador del dominio.

«Al robar el hash NTLM del administrador del dominio y sin necesidad de descifrar la contraseña, el operador logró reutilizarlo a través del ataque Pass-The-Hash y tomar el control de la cuenta del administrador del dominio», dicen los investigadores.

Las técnicas Pass-The-Hash pueden engañar a un sistema de destino para que inicie sesiones autenticadas en una red sin necesidad de descifrar la contraseña.

Luego, Hive realizará un reconocimiento en el servidor, recopilará información e implementará la carga útil del ransomware.

La carga útil del ransomware Hive basado en Go, oculta en un archivo llamado «windows.exe», cifrará los archivos, eliminará las instantáneas, deshabilitará las soluciones de seguridad y borrará los registros de eventos de Windows. El malware también intentará deshabilitar el Administrador de cuentas de seguridad de Windows (SAM) para evitar que se envíen alertas a SIEM.

Una vez que se completa el cifrado, Hive publica una nota de ransomware, diciéndole a su víctima que todos los datos están cifrados y que los archivos han sido robados.

Luego, Hive insta a su víctima a que se comunique con el «departamento de ventas» en una dirección .onion accesible a través de la red Tor para obtener una clave de cifrado y evitar que «datos personales, informes financieros y documentos importantes» se filtren en línea.

Luego, Hive proporciona instrucciones y un conjunto de «directrices» para que las sigan las organizaciones, que incluyen:

  • No modifique, cambie el nombre ni elimine *.key. archivos Tus datos no se podrán descifrar.
  • No modifique ni cambie el nombre de los archivos cifrados. Los perderás.
  • No informe a la policía, FBI, etc. A ellos no les importa su negocio. Simplemente no le permitirán pagar. Como resultado, perderá todo.

«Los ataques de ransomware han crecido significativamente en los últimos años y siguen siendo el método preferido de los actores de amenazas que buscan maximizar las ganancias», dicen los investigadores. «El impacto de un ataque puede ser perjudicial. Puede dañar potencialmente la reputación de una organización, interrumpir las operaciones regulares y provocar la pérdida temporal, y posiblemente permanente, de datos confidenciales».

Varonis recomienda que los administradores de sistemas se aseguren de que sus servidores de Exchange hayan sido parcheados. Es posible que los administradores también deseen aplicar rotaciones frecuentes de contraseñas, bloquear SMBv1 y utilizar la firma SMB.

También se recomienda que las organizaciones consideren modelos de confianza cero para restringir los privilegios de las cuentas de los empleados para acceder solo a los recursos que necesitan en sus roles, reduciendo así la superficie de ataque potencial si la cuenta se ve comprometida.

Ver también


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0


Deja un comentario