Pesquisadores de segurança cibernética da Varonis divulgaram em um novo relatório apontando como os ataques realizados pelo grupo Hive são perpretados -- geralmente tendo como alvo empresas e organizações ligadas a serviços de Saúde. Identificado pela primeira vez em junho de 2021, o Hive é um modelo de ransomware como serviço (RaaS).

Nessa análise, publicada no último dia 19, apontou que o grupo hacker levou 72 horas para entrar no ambiente da empresa vítima do ataque. A invasão começou a partir do ProxyShell, um conjunto de vulnerabilidades do Exchange Server, identificado no final do ano passado, e já corrigido pela Microsoft. Se não corrigidas, essas falhas podem levar ao comprometimento remoto e total dos servidores Exchange.

Uma vez que a vulnerabilidade ainda esteja disponível, os criminosos inserem um backdoor webshell que concede um caminho o código Powershell com privilégios no nível do sistema nos servidores. Na sequência, os criminosos lançam um sinalizador Cobalt Strike, criando uma nova conta de administrador -- no final, o domínio é roubado.

Dados criptografados

Assim que os criminosos conseguem acesso ao sistema, eles executam o ransomware -- que vai criptografar os arquivos e excluir qualquer shadow copy. Além disso, o malware desativa soluções de segurança e limpa os logs de eventos do Windows. O malware também tentará desabilitar o Gerenciador de Contas de Segurança do Windows (SAM) para impedir que os alertas sejam enviados ao SIEM.

Depois que a criptografia é concluída, o Hive publica uma nota de ransomware, informando à vítima que todos os dados estão criptografados e os arquivos foram roubados. Os criminosos, então, pedem que sua vítima entre em contato com o "departamento de vendas" em um endereço .onion acessível pela rede Tor para obter uma chave de criptografia e impedir que "dados pessoais, relatórios financeiros e documentos importantes" vazem online.

“Os ataques de ransomware cresceram significativamente nos últimos anos e continuam sendo o método preferido dos hackers para levantar dinheiro rápido”, lembra Carlos Rodrigues, vice-presidente da Varonis na América Latina. "O impacto de um ataque pode ser prejudicial. Pode prejudicar a reputação de uma organização, interromper as operações regulares e levar à perda temporária e possivelmente permanente de dados confidenciais”, salienta.

Especialistas da Varonis recomendam que os administradores de sistema verifiquem se seus servidores Exchange foram corrigidos. Os administradores também podem implementar políticas frequentes de troca de senha.

Também é recomendável que as organizações considerem modelos Zero Trust restringindo privilégios para usuários comuns e diminuindo a superfície de ataque.

Sobre a Varonis

Operando desde 2005, a Varonis é pioneira em segurança e análise de dados, e trava uma batalha diferente das empresas de segurança cibernética convencionais. Atualmente, as soluções desenvolvidas pela empresa se concentram na proteção de dados corporativos, tais como arquivos e e-mails confidenciais; dados confidenciais de clientes, pacientes e funcionários; recordes financeiros; planos estratégicos e de produto; e outras propriedades intelectuais. A Varonis Data Security Platform detecta ameaças cibernéticas de atores internos e externos, analisando dados, atividade da conta e comportamento do usuário; previne e limita desastres, bloqueando dados confidenciais e obsoletos; e sustenta com eficiência um estado seguro com automação. Os produtos Varonis atendem a outros casos de uso importantes, incluindo proteção de dados, governança de dados, confiança zero, conformidade, privacidade de dados, classificação e detecção e resposta a ameaças. Hoje, alguns clientes da empresa são líderes em seus mercados de atuação, tais como Serviços Financeiros, Setor Público, Saúde, Indústria, Seguros, Energia, Tecnologia, Varejo, Mídia e Entretenimento, Educação, entre outros.