Hive Ransomware IOCs

ransomware IOC

Во время недавнего сотрудничества с клиентом команда криминалистов Varonis расследовала инцидент с вымогательским ПО. Несколько устройств и файловых серверов были взломаны и зашифрованы вредоносной группой угроз, известной как Hive.

Hive Ransomware

Использует распространенные тактики, методы и процедурыransomware для компрометации устройств жертв. Во время активных действий оператор отключает средства защиты от вредоносного ПО, а затем осуществляет эксфильтрацию конфиденциальных данных и шифрует рабочие файлы. Их филиалы используют множество механизмов для компрометации сетей своих жертв, включая фишинговые электронные письма с вредоносными вложениями, утечку учетных данных VPN и использование уязвимостей на внешних активах. Кроме того, Hive размещает записку с выкупом в открытом виде, в которой угрожает опубликовать данные жертвы на сайте TOR 'HiveLeaks', если жертва не выполнит условия злоумышленников.

Команда криминалистов заметила, что агенту удалось достичь своих вредоносных целей и зашифровать среду менее чем за 72 часа с момента первоначальной компрометации.

Этап 1: ProxyShell и WebShell

Сначала злоумышленник использовал многочисленные уязвимости безопасности Exchange, названные ProxyShell. Затем злоумышленник поместил вредоносный бэкдор-скрипт, называемый webShell, в общедоступный каталог на сервере Exchange. Затем эти веб-скрипты могли выполнять вредоносный код PowerShell на взломанном сервере с привилегиями SYSTEM.

Этап 2: Cobalt Strike

Вредоносный код PowerShell загружал дополнительные стейджеры с удаленного сервера C2 (Command & Control), связанного с фреймворком Cobalt Strike. Стэйджеры не записывались в файловую систему, а выполнялись в памяти.

Этап 3: Mimikatz и Pass-The-Hash

Используя разрешения SYSTEM, угрожающий агент создал нового пользователя системного администратора под именем "user" и перешел к этапу дампа учетных данных, вызвав Mimikatz. Похитив NTLM-хэш администратора домена и не взломав пароль, оператор смог повторно использовать его с помощью атаки Pass-The-Hash и получить контроль над учетной записью администратора домена.

Этап 4: Сканирование на предмет конфиденциальной информации

Далее агент угрозы выполнил обширные действия по обнаружению информации в сети. Помимо поиска файлов, содержащих в своем названии слово "password", наблюдаемые действия включали в себя запуск сетевых сканеров и сбор IP-адресов и имен устройств сети, а затем RDP на резервные серверы и другие критически важные активы.

Этап 5: Развертывание вымогательского ПО

Наконец, специально созданная полезная нагрузка вредоносного ПО под названием Windows.exe была доставлена и запущена на различных устройствах, что привело к широкому шифрованию и отказу в доступе к файлам в организации.

На этапе шифрования полезная нагрузка создала текстовое требование о выкупе.

Рекомендации

  • Установите на сервер Exchange последние накопительные обновления Exchange (CU) и обновления безопасности (SU), предоставленные компанией Microsoft.
  • Обеспечьте использование сложных паролей и требуйте от пользователей периодической смены паролей.
  • Используйте решение Microsoft LAPS для отзыва прав локального администратора у доменных учетных записей (принцип наименьших привилегий) и регулярно проверяйте и удаляйте неактивные учетные записи пользователей.
  • Блокируйте использование SMBv1 и используйте подписи SMB для защиты от атак типа pass-the-hash.
  • Ограничьте доступ до минимума, необходимого для роли сотрудника.
  • Обнаруживайте и автоматически предотвращайте изменения в управлении доступом, нарушающие ваши бизнес-правила.
  • Обучите сотрудников принципам безопасности и убедитесь, что сотрудники проходят курс повышения осведомленности о безопасности как часть ваших планов кибербезопасности.
  • Установите основные методы обеспечения безопасности и определите правила поведения, описывающие, как обращаться и защищать информацию организации и клиентов, а также другие жизненно важные данные.

Indicators of Compromise

IPv4

  • 139.60.161.228
  • 139.60.161.56
  • 91.208.52.149
  • 185.70.184.8

MD5

  • 6c9ad4e67032301a61a9897377d9cff8
  • 6a58b52b184715583cda792b56a0a1ed
  • 4fdabe571b66ceec3448939bfb3ffcd1
  • bb7c575e798ff5243b5014777253635d
  • 5e1575c221f8826ce55ac2696cf1cf0b
  • d46104947d8478030e8bcfcc74f2aef7
  • 2401f681b4722965f82a3d8199a134ed

SHA1

  • 655979d56e874fbe7561bb1b6e512316c25cbb19
  • 3477a173e2c1005a81d042802ab0f22cc12a4d55
  • 763499b37aacd317e7d2f512872f9ed719aacae1
  • 2146f04728fe93c393a74331b76799ea8fe0269f
  • ecf794599c5a813f31f0468aecd5662c5029b5c4
  • d1ef9f484f10d12345c41d6b9fca8ee0efa29b60
  • 2aee699780f06857bb0fb9c0f73e33d1ac87a385
SEC-1275-1
Добавить комментарий