{"id":19296,"date":"2022-04-24T11:27:41","date_gmt":"2022-04-24T14:27:41","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19296"},"modified":"2022-04-24T11:53:29","modified_gmt":"2022-04-24T14:53:29","slug":"hive-ransomware-e-o-alvo-nas-organizacoes","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/hive-ransomware-e-o-alvo-nas-organizacoes\/","title":{"rendered":"Ransomware Hive com alvo nas organiza\u00e7\u00f5es"},"content":{"rendered":"\n

Novo relat\u00f3rio de incidente revela como o Ransomware Hive tem como alvo as organiza\u00e7\u00f5es<\/span><\/h1>\n

\u00a0<\/p>\n

Um recente ataque de ransomware Hive realizado por uma afiliada envolveu a explora\u00e7\u00e3o de vulnerabilidades “ProxyShell” no Microsoft Exchange Server que foram divulgadas no ano passado para criptografar a rede de um cliente n\u00e3o identificado.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO ator conseguiu atingir seus objetivos maliciosos e criptografar o ambiente em menos de 72 horas a partir do comprometimento inicial\u201d, conforme o pesquisador de seguran\u00e7a da Varonis, Nadav Ovadia, em uma an\u00e1lise post-mortem do incidente.<\/p>\n

\u00a0<\/p>\n

O Hive, que foi observado pela primeira vez em junho de 2021, segue o lucrativo esquema de ransomware-as-a-service (RaaS) adotado por outros grupos de cibercriminosos nos \u00faltimos anos, permitindo que os afiliados implantem o malware de criptografia de arquivos depois de se estabelecerem nas v\u00edtimas. redes.<\/p>\n

\u00a0<\/p>\n

ProxyShell foi<\/span> rastreado como CVE-2021-31207, CVE-2021-34523 e CVE-2021-34473 e envolve uma combina\u00e7\u00e3o de desvio de recurso de seguran\u00e7a, escalonamento de privil\u00e9gios e execu\u00e7\u00e3o remota de c\u00f3digo no Microsoft Exchange Server, concedendo efetivamente ao invasor a capacidade para executar c\u00f3digo arbitr\u00e1rio nos servidores afetados.<\/span><\/p>\n

\u00a0<\/p>\n

Os problemas foram resolvidos pela Microsoft como parte de suas atualiza\u00e7\u00f5es do Patch Tuesday para abril e maio de 2021.<\/p>\n

\u00a0<\/p>\n

Nesse caso, a explora\u00e7\u00e3o bem-sucedida das falhas permitiu que o advers\u00e1rio implantasse shells da Web no servidor comprometido, usando-os para executar c\u00f3digo malicioso do PowerShell com privil\u00e9gios de SISTEMA para criar um novo usu\u00e1rio administrador de backdoor, sequestrar a conta de administrador do dom\u00ednio e realizar movimento lateral.<\/p>\n

\u00a0<\/p>\n

\"Hive<\/a><\/div>\n
\u00a0<\/div>\n
\n

Dizem-se que os web shells usados \u200b\u200bno ataque foram originados de um <\/span>reposit\u00f3rio git p\u00fablico<\/span> e receberam nomes de arquivos contendo uma mistura aleat\u00f3ria de caracteres para evitar a detec\u00e7\u00e3o, conforme Ovadia. <\/span>Tamb\u00e9m foi executado um script PowerShell ofuscado adicional, que faz parte da estrutura Cobalt Strike.<\/p>\n

\u00a0<\/p>\n<\/div>\n

A partir da\u00ed, o agente da amea\u00e7a moveu-se para escanear a rede em busca de arquivos valiosos, antes de prosseguir com a implanta\u00e7\u00e3o do execut\u00e1vel do ransomware Golang (chamado “Windows.exe”) para concluir o processo de criptografia e exibir a nota de resgate para a v\u00edtima.<\/span><\/p>\n

\u00a0<\/p>\n

Outras opera\u00e7\u00f5es realizadas pelo malware incluem a exclus\u00e3o de c\u00f3pias de sombra (tamb\u00e9m conhecido como Volume Snapshot Service ou VSS ), a desativa\u00e7\u00e3o de produtos de seguran\u00e7a e a limpeza dos logs de eventos do Windows para evitar a detec\u00e7\u00e3o, impedir a recupera\u00e7\u00e3o e garantir que a criptografia ocorra sem problemas.<\/p>\n

\u00a0<\/p>\n

De qualquer forma, as descobertas s\u00e3o mais um indicador de que a corre\u00e7\u00e3o de vulnerabilidades conhecidas \u00e9 fundamental para impedir ataques cibern\u00e9ticos e outras atividades nefastas.<\/p>\n

\u00a0<\/p>\n

\u201cOs ataques de ransomware cresceram significativamente nos \u00faltimos anos e continuam sendo o m\u00e9todo preferido dos agentes de amea\u00e7as com o objetivo de maximizar os lucros\u201d, conforme Ovadia. \u201cIsso pode prejudicar a reputa\u00e7\u00e3o de uma organiza\u00e7\u00e3o, interromper as opera\u00e7\u00f5es regulares e levar \u00e0 perda tempor\u00e1ria e possivelmente permanente de dados confidenciais\u201d.<\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/04\/new-incident-report-reveals-how-hive.html\u00a0<\/a> (Autor: Ravie Lakshmanan<\/span><\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Novo relat\u00f3rio de incidente revela como o Ransomware Hive tem como alvo as organiza\u00e7\u00f5es \u00a0 Um recente ataque de ransomware Hive realizado por uma afiliada envolveu a explora\u00e7\u00e3o de vulnerabilidades “ProxyShell” no Microsoft Exchange Server que foram divulgadas no ano passado para criptografar a rede de um cliente n\u00e3o identificado. \u00a0 \u201cO ator conseguiu atingir […]<\/p>\n","protected":false},"author":2,"featured_media":19297,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19296","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19296"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19296\/revisions"}],"predecessor-version":[{"id":19306,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19296\/revisions\/19306"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19297"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}