En el último año, los ataques de ransomware han aumentado significativamente. Se han convertido en uno de los métodos preferidos de los piratas informáticos para obtener ganancias financieras a través de la extorsión, pero también pueden provocar daños a la reputación, interrupción de las operaciones, pérdida de datos, caída del precio de las acciones y traer diversas consecuencias legales para las víctimas.
Actualmente, los afiliados del famoso grupo de ransomware Hive están explotando vulnerabilidades conocidas en los servidores de Microsoft Exchange para llevar a cabo ataques. Cuando se alcanzan los objetivos, el atacante amenaza con cifrar, recopilar y divulgar públicamente los datos privados de las empresas.
Ataques corporativos
En un incidente reciente que involucró a una organización no identificada, el grupo Hive comprometió varios dispositivos y servidores de archivos al explotar las vulnerabilidades de ProxyShell en los servidores de Exchange . En 72 horas, los datos se cifraron de forma permanente.
Este ataque incluía características típicas del ransomware Hive, como el uso de malware de cifrado de datos, amenazas de divulgación pública de la información y eliminación de todos los datos si no se paga la demanda de rescate.
Miembros del grupo de ransomware Hive
El grupo de ransomware Hive surgió por primera vez en junio de 2021. Desde entonces, Hive se ha centrado en múltiples industrias, incluidas la atención médica, las organizaciones sin fines de lucro, el comercio minorista y la energía.
En el poco tiempo transcurrido desde su lanzamiento, Hive se ha consolidado como una organización particularmente agresiva. Según un informe Intel 471 , Hive es el cuarto operador de ransomware más activo que existe, con 335 ataques atribuidos a afiliados dentro del grupo.
Hive funciona con el modelo Ransomware-as-a-Service . En otras palabras, los ciberdelincuentes alquilan su tecnología a piratas informáticos "menores", quienes luego usan la tecnología contra las organizaciones. El grupo Hive se queda con un porcentaje de las cantidades obtenidas con el pago del rescate
Detalles técnicos
Los ataques del ransomware Hive se centran en las vulnerabilidades de ejecución remota de código (RCE) de ProxyShell. También se sabe que otros grupos de piratería, incluido Conti, utilizan este tipo de vulnerabilidades. Aunque Microsoft corrigió la falla hace más de un año, no todas las organizaciones han actualizado sus servidores Exchange.
Tras la explotación de la vulnerabilidad, un afiliado de Hive implementa un webshell de puerta trasera que ejecuta código malicioso de PowerShell en sistemas comprometidos (con privilegios de SISTEMA). A esto le siguen etapas adicionales de un servidor de comando y control (C2) vinculado al marco Cobalt Strike. Otro elemento del marco incluye un script de PowerShell ofuscado adicional. Luego, el hacker toma el control de la cuenta del administrador del dominio y se mueve lateralmente a través de la red.
Las actividades de los ciberdelincuentes observadas incluyen la búsqueda de archivos con la palabra "contraseña", el cierre de los escáneres de seguridad de la red y la recopilación de direcciones IP y nombres de dispositivos.
¿Cómo evitar el ransomware Hive?
Su empresa debe adoptar varios métodos de protección:
Actualice los servidores de Exchange con los últimos parches de seguridad de Microsoft
Usa contraseñas complejas
Asegúrese de que los empleados cambien las contraseñas regularmente
Revocar permisos administrativos locales de cuentas de dominio
Eliminar cuentas de usuario inactivas
Conclusión
Muchas empresas siguen sin poder sobrevivir a la peor parte de un ataque de ransomware. Asegúrese de que su empresa cuente con las políticas, los procedimientos y las tecnologías correctos para proteger sus sistemas, empleados y clientes. Adopte una postura proactiva contra este ataque al servidor de Exchange y contra los ataques de ransomware en general. Cuente con International IT y sus soluciones Zero Trust y NGFW para hacer frente a esta y otras ciberamenazas.
Fuentes: CyberTalk y The Register
Cuente con International IT para proteger a su empresa de los ataques de ransomware con los mejores del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.