×
Outbyte PC Repair
Outbyte Driver Updater

Servidores de Microsoft Exchange atacados por el ransomware Hive windows.exe

2022/04/22
Servidores de Microsoft Exchange atacados por el ransomware Hive windows.exe
Si bien la actualización periódica del software y la descarga de archivos solo de fuentes confiables es una práctica estándar de ciberseguridad, dado el reciente aumento de los ataques de malware, está claro que se necesita más conocimiento en esta área. Con ese fin, el equipo forense de Varonis ha brindado orientación sobre cómo los atacantes que usan el ransomware Hive atacan a Microsoft. Exchange Servers en la última serie de ataques. Para aquellos que no lo saben, Hive sigue el modelo de ransomware como servicio.

Si bien Microsoft parcheó los servidores de Exchange contra vulnerabilidades conocidas en 2021 y la mayoría de las organizaciones se actualizaron, algunas no lo hicieron. Hive ahora se dirige a estas instancias de servidor vulnerables a través de las vulnerabilidades de ProxyShell para obtener privilegios del sistema. El script de PowerShell luego inicia Cobalt Strike y crea una nueva cuenta de administrador del sistema llamada «usuario».

Luego, Mimikatz se usa para robar el hash NTLM del administrador del dominio y tomar el control de esa cuenta. Una vez comprometido con éxito, Hive realiza algunos descubrimientos al implementar escáneres de red para almacenar la dirección IP, buscar archivos que contengan «contraseña» en el nombre del archivo e intentar conectarse a servidores de respaldo a través de RDP para acceder a activos confidenciales.

Por último, se implementa y ejecuta una carga útil de malware personalizado a través del archivo «windows.exe», que roba y cifra archivos, elimina instantáneas, borra registros de eventos y desactiva los mecanismos de seguridad. Posteriormente, se muestra una nota sobre el ransomware, indicándole a la organización que se comunique con el «equipo de ventas» de Hive ubicado en. cebolla disponible a través de la red Tor. La organización comprometida también recibe las siguientes instrucciones:

  • No cambie, cambie el nombre ni elimine *.key. archivos Sus datos no estarán encriptados.
  • No modifique ni cambie el nombre de los archivos cifrados. Los perderás.
  • No informe a la policía, al FBI, etc. A ellos no les importa su negocio. Simplemente no te dejan pagar. Como resultado, perderá todo.
  • No contrate a una empresa de recuperación. No pueden descifrar sin la clave. Tampoco les importa tu negocio. Creen que son buenos negociadores, pero no lo son. Por lo general, fallan. Así que habla por ti mismo.
  • No rechaces (sic) la compra. Los archivos exfiltrados se harán públicos.

El último punto es ciertamente interesante porque si Hive no paga, su información se publicará en el sitio web de Tor «HiveLeaks». La misma web muestra una cuenta atrás para que la víctima pague.

El equipo de seguridad señaló que, en un caso, los atacantes pudieron cifrar el entorno dentro de las 72 horas posteriores a la infracción inicial. Como tal, se alienta a las organizaciones a parchear sus servidores de Exchange de inmediato, cambiar periódicamente las contraseñas complejas, bloquear SMBv1, limitar el acceso tanto como sea posible y capacitar a los empleados en seguridad cibernética.

Fuente: Varonis Forensic Group a través de ZDNet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *