Embora atualizar regularmente o software e baixar apenas arquivos de fontes confiáveis seja uma prática padrão de segurança cibernética, dado o recente aumento dos ataques de malware, fica claro que é necessário mais conhecimento nessa área. Para esse fim, a equipe forense da Varonis forneceu algumas orientações sobre como os invasores que usam o ransomware Hive visam a Microsoft. Exchange Servers na última série de ataques. Para quem não sabe, o Hive segue o modelo de ransomware como serviço.
Embora a Microsoft tenha corrigido os servidores do Exchange contra vulnerabilidades conhecidas em 2021 e a maioria das organizações tenha atualizado, algumas não. O Hive agora está direcionando essas instâncias de servidor vulneráveis por meio de vulnerabilidades do ProxyShell para obter privilégios do sistema. O script do PowerShell inicia o Cobalt Strike e cria uma nova conta de administrador do sistema chamada “usuário”.
Mimikatz é então usado para roubar o hash NTLM do administrador de domínio e assumir o controle dessa conta. Uma vez comprometido com sucesso, o Hive faz alguma descoberta implantando scanners de rede para armazenar o endereço IP, verificando arquivos contendo “senha” no nome do arquivo e tentando se conectar a servidores de backup via RDP para acessar ativos confidenciais.
Por fim, uma carga de malware personalizada é implantada e executada por meio do arquivo “windows.exe”, que rouba e criptografa arquivos, remove cópias de sombra, limpa logs de eventos e desativa mecanismos de segurança. Posteriormente, é exibida uma nota sobre o ransomware, instruindo a organização a entrar em contato com a “equipe de vendas” do Hive localizada em. onion disponível através da rede Tor. A organização comprometida também recebe as seguintes instruções:
- Não altere, renomeie ou exclua *.key. arquivos. Seus dados serão descriptografados.
- Não modifique ou renomeie arquivos criptografados. Você vai perdê-los.
- Não reporte à polícia, FBI, etc. Eles não se importam com o seu negócio. Eles simplesmente não vão deixar você pagar. Como resultado, você perderá tudo.
- Não contrate uma empresa de recuperação. Eles não podem descriptografar sem a chave. Eles também não se importam com o seu negócio. Eles pensam que são bons negociadores, mas não são. Geralmente eles falham. Então fale por você.
- Não recuse (sic) a compra. Os arquivos exfiltrados serão tornados públicos.
O último ponto é certamente interessante porque se o Hive não pagar, suas informações serão postadas no site do Tor “HiveLeaks”. O mesmo site mostra uma contagem regressiva para fazer a vítima pagar.
A equipe de segurança observou que, em um caso, os invasores conseguiram criptografar o ambiente dentro de 72 horas após a violação inicial. Como tal, as organizações são incentivadas a corrigir seus servidores Exchange imediatamente, alterar periodicamente senhas complexas, bloquear SMBv1, limitar o acesso o máximo possível e treinar funcionários em segurança cibernética.
Fonte: Varonis Forensic Group via ZDNet.
Deixe um comentário