Servidores Microsoft Exchange são hackeados para implantar o ransomware Hive. O alvo dos atacantes são os servidores vulneráveis a problemas de segurança do ProxyShell, a exploração envolve a implantação de vários backdoors, incluindo o sinalizador Cobalt Strike. Uma vez implantados, os agentes de ameaças realizam reconhecimento de rede, roubam credenciais de contas de administrador, exfiltram dados e, por fim, implantam a carga útil de criptografia de arquivos.
De acordo com o BleepingComputer, a descoberta dessa exploração foi realizada pela empresa de segurança e análise Varonis, que foi chamada para investigar um ataque de ransomware a um de seus clientes.
Vulnerabilidade em servidores Microsoft Exchange
O ProxyShell é um conjunto de três vulnerabilidades no Microsoft Exchange Server que permite a execução remota de código sem autenticação em implantações vulneráveis. As falhas foram usadas por vários agentes de ameaças, incluindo ransomware como Conti, BlackByte, Babuk, Cuba e LockFile, depois que as explorações ficaram disponíveis.
As vulnerabilidades de segurança são consideradas totalmente corrigidas a partir de maio de 2021, mas extensos detalhes técnicos sobre elas só foram disponibilizados em agosto de 2021 e, logo após, a exploração maliciosa começou.
O fato de a afiliada da Hive ter conseguido explorar o ProxyShell em um ataque recente mostra que ainda há espaço para direcionar servidores vulneráveis. Após a exploração do ProxyShell, os hackers plantaram quatro web shells em um diretório acessível do Exchange e executaram o código do PowerShell com altos privilégios para baixar os estágios do Cobalt Strike.
De acordo com o BleepingComputer, os web shells usados ??neste ataque em particular foram originados de um repositório Git público e foram meramente renomeados para evitar a detecção durante possíveis inspeções manuais. A partir daí, os invasores usaram o Mimikatz, um ladrão de credenciais, para roubar a senha de uma conta de administrador de domínio e realizar movimentação lateral, acessando mais ativos na rede.
Em seguida, os agentes de ameaças realizaram extensas operações de pesquisa de arquivos para localizar os dados mais valiosos para pressionar a vítima a pagar um resgate maior. Depois que todos os arquivos foram exfiltrados, uma carga de ransomware chamada “Windows.exe” foi descartada e executada em vários dispositivos.
Antes de criptografar os arquivos da organização, a carga útil de Golang excluiu cópias de sombra, desativou o Windows Defender, limpou os logs de eventos do Windows, eliminou processos de vinculação de arquivos e parou o Gerenciador de Contas de Segurança para desativar os alertas.
Evolução do Hansomware Hive
O Hive percorreu um longo caminho desde que foi descoberto em junho de 2021, tendo um início bem-sucedido que levou o FBI a divulgar um relatório dedicado sobre suas táticas e indicadores de comprometimento.
Em outubro de 2021, a gangue Hive adicionou variantes Linux e FreeBSD e, em dezembro, tornou-se uma das operações de ransomware mais ativas na frequência de ataque. O BleepingComputer lembra, inclusive, que no mês passado, pesquisadores do Sentinel Labs relataram um novo método de ocultação de carga útil empregado pelo Hive, que indica desenvolvimento ativo.
Via: BleepingComputer
