Во время недавнего сотрудничества с клиентом команда криминалистов Varonis расследовала инцидент с вымогательским ПО. Несколько устройств и файловых серверов были взломаны и зашифрованы вредоносной группой угроз, известной как Hive.
Hive Ransomware
Использует распространенные тактики, методы и процедурыransomware для компрометации устройств жертв. Во время активных действий оператор отключает средства защиты от вредоносного ПО, а затем осуществляет эксфильтрацию конфиденциальных данных и шифрует рабочие файлы. Их филиалы используют множество механизмов для компрометации сетей своих жертв, включая фишинговые электронные письма с вредоносными вложениями, утечку учетных данных VPN и использование уязвимостей на внешних активах. Кроме того, Hive размещает записку с выкупом в открытом виде, в которой угрожает опубликовать данные жертвы на сайте TOR 'HiveLeaks', если жертва не выполнит условия злоумышленников.
Команда криминалистов заметила, что агенту удалось достичь своих вредоносных целей и зашифровать среду менее чем за 72 часа с момента первоначальной компрометации.
Этап 1: ProxyShell и WebShell
Сначала злоумышленник использовал многочисленные уязвимости безопасности Exchange, названные ProxyShell. Затем злоумышленник поместил вредоносный бэкдор-скрипт, называемый webShell, в общедоступный каталог на сервере Exchange. Затем эти веб-скрипты могли выполнять вредоносный код PowerShell на взломанном сервере с привилегиями SYSTEM.
Этап 2: Cobalt Strike
Вредоносный код PowerShell загружал дополнительные стейджеры с удаленного сервера C2 (Command & Control), связанного с фреймворком Cobalt Strike. Стэйджеры не записывались в файловую систему, а выполнялись в памяти.
Этап 3: Mimikatz и Pass-The-Hash
Используя разрешения SYSTEM, угрожающий агент создал нового пользователя системного администратора под именем "user" и перешел к этапу дампа учетных данных, вызвав Mimikatz. Похитив NTLM-хэш администратора домена и не взломав пароль, оператор смог повторно использовать его с помощью атаки Pass-The-Hash и получить контроль над учетной записью администратора домена.
Этап 4: Сканирование на предмет конфиденциальной информации
Далее агент угрозы выполнил обширные действия по обнаружению информации в сети. Помимо поиска файлов, содержащих в своем названии слово "password", наблюдаемые действия включали в себя запуск сетевых сканеров и сбор IP-адресов и имен устройств сети, а затем RDP на резервные серверы и другие критически важные активы.
Этап 5: Развертывание вымогательского ПО
Наконец, специально созданная полезная нагрузка вредоносного ПО под названием Windows.exe была доставлена и запущена на различных устройствах, что привело к широкому шифрованию и отказу в доступе к файлам в организации.
На этапе шифрования полезная нагрузка создала текстовое требование о выкупе.
Рекомендации
- Установите на сервер Exchange последние накопительные обновления Exchange (CU) и обновления безопасности (SU), предоставленные компанией Microsoft.
- Обеспечьте использование сложных паролей и требуйте от пользователей периодической смены паролей.
- Используйте решение Microsoft LAPS для отзыва прав локального администратора у доменных учетных записей (принцип наименьших привилегий) и регулярно проверяйте и удаляйте неактивные учетные записи пользователей.
- Блокируйте использование SMBv1 и используйте подписи SMB для защиты от атак типа pass-the-hash.
- Ограничьте доступ до минимума, необходимого для роли сотрудника.
- Обнаруживайте и автоматически предотвращайте изменения в управлении доступом, нарушающие ваши бизнес-правила.
- Обучите сотрудников принципам безопасности и убедитесь, что сотрудники проходят курс повышения осведомленности о безопасности как часть ваших планов кибербезопасности.
- Установите основные методы обеспечения безопасности и определите правила поведения, описывающие, как обращаться и защищать информацию организации и клиентов, а также другие жизненно важные данные.
Indicators of Compromise
IPv4
- 139.60.161.228
- 139.60.161.56
- 91.208.52.149
- 185.70.184.8