No ano passado, os ataques de ransomware aumentaram significativamente. Eles se tornaram um dos métodos preferidos dos hackers para ganhos financeiros através de extorsão, mas também podem levar a danos à reputação, interrupções nas operações, perda de dados, queda no preço das ações e trazer diversas consequências legais para as vítimas.
VEJA TAMBÉM: Ransomware: Guia de Prevenção e Respostas para CISOs
Atualmente, afiliados do famoso grupo de ransomware Hive estão explorando vulnerabilidades conhecidas nos servidores Microsoft Exchange para realizar ataques. Quando os alvos são atingidos, o invasor ameaça criptografar, coletar e divulgar publicamente os dados privados das corporações.
Ataques corporativos
Em um incidente recente envolvendo uma organização que não teve seu nome divulgado, o grupo Hive comprometeu vários dispositivos e servidores de arquivos por meio da exploração das vulnerabilidades do ProxyShell nos servidores Exchange. Em 72 horas, os dados foram criptografados de forma definitiva.
Esse ataque incluiu características típicas do ramsomware Hive, como o uso de malware de criptografia de dados, ameaça de divulgação pública das informações e eliminação de todos os dados caso o pedido de resgate não seja pago.
Integrantes do grupo de ransomware Hive
O grupo de ransomware Hive surgiu pela primeira vez em junho de 2021. Desde então, o Hive tem como alvo vários setores, incluindo saúde, organizações sem fins lucrativos, varejo e energia.
Em um curto espaço de tempo desde o seu lançamento, o Hive se estabeleceu como uma organização particularmente agressiva. De acordo com um relatório da Intel 471, o Hive é o quarto operador de ransomware mais ativo existente, com 335 ataques atribuídos a afiliados do grupo.
O Hive opera usando o modelo Ransomware-as-a-Service. Em outras palavras, os cibercriminosos alugam sua tecnologia para hackers “menores”, que então utilizam a tecnologia contra organizações. O grupo Hive fica com uma porcentagem dos valores conseguidos com o pagamento do resgate
Detalhes técnicos
Os ataques do ramsomware Hive se concentram nas vulnerabilidades do ProxyShell Remote Code Execution (RCE). Outros grupos de hackers, incluindo o Conti, também são conhecidos por usar esses tipos de vulnerabilidades. Embora a Microsoft tenha corrigido a falha há mais de um ano, nem todas as organizações atualizaram seus Exchange Servers.
Após a exploração da vulnerabilidade, um afiliado Hive implementa um webshell backdoor que executa código malicioso do PowerShell em sistemas comprometidos (com privilégios de SISTEMA). Isso é seguido por stagers adicionais de um servidor de comando e controle (C2) vinculado à estrutura Cobalt Strike. Outro elemento da estrutura inclui um script PowerShell ofuscado adicional. O hacker então assume o controle da conta do administrador do domínio e se move lateralmente pela rede.
As atividades dos cibercriminosos observadas incluem a busca de arquivos com a palavra “senha”, o desligamento de scanners de segurança de rede e a coleta de endereços IP e nomes de dispositivos.
Como evitar o ransomware Hive?
Sua empresa deve adotar vários métodos de proteção:
Atualize os servidores Exchange com os patches de segurança mais recentes da Microsoft
Utilize senhas complexas
Garanta que os funcionários alternem as senhas regularmente
Revogue permissões administrativas locais de contas de domínio
Remova contas de usuário inativas
Conclusão
Muitas empresas continuam incapazes de sobreviver ao impacto de um ataque de ransomware. Certifique-se de que sua empresa tenha as políticas, procedimentos e tecnologias corretas em vigor para proteger seus sistemas, funcionários e clientes. Tome uma postura proativa contra esse ataque ao servidor Exchange e contra ataques de ransomware em geral. Conte com a International IT e suas soluções Zero Trust e NGFW para enfrentar essa, e outras, ameaças cibernéticas.
Fontes: CyberTalk e The Register
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
