Ransomware Hive: Como ataques aos servidores Microsoft Exchange podem afetar seu negócio?

Atualizado: há 5 dias

No ano passado, os ataques de ransomware aumentaram significativamente. Eles se tornaram um dos métodos preferidos dos hackers para ganhos financeiros através de extorsão, mas também podem levar a danos à reputação, interrupções nas operações, perda de dados, queda no preço das ações e trazer diversas consequências legais para as vítimas.



VEJA TAMBÉM: Ransomware: Guia de Prevenção e Respostas para CISOs


Atualmente, afiliados do famoso grupo de ransomware Hive estão explorando vulnerabilidades conhecidas nos servidores Microsoft Exchange para realizar ataques. Quando os alvos são atingidos, o invasor ameaça criptografar, coletar e divulgar publicamente os dados privados das corporações.


Ataques corporativos


Em um incidente recente envolvendo uma organização que não teve seu nome divulgado, o grupo Hive comprometeu vários dispositivos e servidores de arquivos por meio da exploração das vulnerabilidades do ProxyShell nos servidores Exchange. Em 72 horas, os dados foram criptografados de forma definitiva.


Esse ataque incluiu características típicas do ramsomware Hive, como o uso de malware de criptografia de dados, ameaça de divulgação pública das informações e eliminação de todos os dados caso o pedido de resgate não seja pago.


Integrantes do grupo de ransomware Hive


O grupo de ransomware Hive surgiu pela primeira vez em junho de 2021. Desde então, o Hive tem como alvo vários setores, incluindo saúde, organizações sem fins lucrativos, varejo e energia.


gif

Em um curto espaço de tempo desde o seu lançamento, o Hive se estabeleceu como uma organização particularmente agressiva. De acordo com um relatório da Intel 471, o Hive é o quarto operador de ransomware mais ativo existente, com 335 ataques atribuídos a afiliados do grupo.


O Hive opera usando o modelo Ransomware-as-a-Service. Em outras palavras, os cibercriminosos alugam sua tecnologia para hackers “menores”, que então utilizam a tecnologia contra organizações. O grupo Hive fica com uma porcentagem dos valores conseguidos com o pagamento do resgate


Detalhes técnicos


Os ataques do ramsomware Hive se concentram nas vulnerabilidades do ProxyShell Remote Code Execution (RCE). Outros grupos de hackers, incluindo o Conti, também são conhecidos por usar esses tipos de vulnerabilidades. Embora a Microsoft tenha corrigido a falha há mais de um ano, nem todas as organizações atualizaram seus Exchange Servers.


gif

Após a exploração da vulnerabilidade, um afiliado Hive implementa um webshell backdoor que executa código malicioso do PowerShell em sistemas comprometidos (com privilégios de SISTEMA). Isso é seguido por stagers adicionais de um servidor de comando e controle (C2) vinculado à estrutura Cobalt Strike. Outro elemento da estrutura inclui um script PowerShell ofuscado adicional. O hacker então assume o controle da conta do administrador do domínio e se move lateralmente pela rede.


As atividades dos cibercriminosos observadas incluem a busca de arquivos com a palavra “senha”, o desligamento de scanners de segurança de rede e a coleta de endereços IP e nomes de dispositivos.


VEJA TAMBÉM: Arquitetura de Segurança Zero Trust | Benefícios, Tecnologias e Implementação


Como evitar o ransomware Hive?


Sua empresa deve adotar vários métodos de proteção:

  • Atualize os servidores Exchange com os patches de segurança mais recentes da Microsoft

  • Utilize senhas complexas

  • Garanta que os funcionários alternem as senhas regularmente

  • Revogue permissões administrativas locais de contas de domínio

  • Remova contas de usuário inativas


Conclusão


Muitas empresas continuam incapazes de sobreviver ao impacto de um ataque de ransomware. Certifique-se de que sua empresa tenha as políticas, procedimentos e tecnologias corretas em vigor para proteger seus sistemas, funcionários e clientes. Tome uma postura proativa contra esse ataque ao servidor Exchange e contra ataques de ransomware em geral. Conte com a International IT e suas soluções Zero Trust e NGFW para enfrentar essa, e outras, ameaças cibernéticas.


Fontes: CyberTalk e The Register

 

Conte com a International IT para proteger sua empresa de ataques ransomware com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

251 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos