Operadores de malware de Hive atacan servidores de Microsoft Exchange

Los operadores de Hive ransomware atacan los servidores de Microsoft Exchange que son vulnerables a los notorios problemas de ProxyShell.

En máquinas comprometidas, los atacantes despliegan varias puertas traseras, incluso Golpe de cobalto balizas, luego realizar un reconocimiento, robar credenciales e información valiosa, y solo entonces proceder a encriptar archivos.

Héroe, que están investigando qué está pasando después de un ataque de ransomware en uno de sus clientes, advertido sobre el problema.

Permítanme recordarles que las vulnerabilidades, que se denominaron colectivamente ProxyShell, se dio a conocer en el verano de 2021.

ProxyShell combina tres vulnerabilidades que permiten la ejecución remota de código sin autenticación en microsoft servidores de intercambio. Estas vulnerabilidades explotan el servicio de acceso de cliente de Microsoft Exchange (CAS) corriendo en el puerto 443.

Déjame recordarte que nosotros, por ejemplo, hablado sobre Hancitor el malware, que utiliza correos electrónicos de phishing, credenciales comprometidas, o RDP de fuerza bruta para acceder a máquinas Windows vulnerables y explota vulnerabilidades en Microsoft Exchange.

Previamente, Los errores de ProxyShell ya han sido utilizados por muchos atacantes, incluyendo grupos de piratas informáticos tan conocidos como Conti, Byte negro, Babuk, Cuba y Bloquear archivo. Desafortunadamente, la Colmena los ataques muestran que no todos han parcheado ProxyShell todavía, y todavía se pueden encontrar servidores vulnerables en la red.

Después de explotar los errores de ProxyShell, Los operadores de Hive inyectan cuatro shells web en un directorio de Exchange accesible y ejecutan el código de PowerShell con altos privilegios., cargando escenarios Cobalt Strike. Los investigadores señalan que los shells web utilizados en estos ataques fueron tomados de un publico Git repositorio y luego simplemente renombrado para evitar la detección.

Sobre las máquinas atacadas, los atacantes también utilizan el Mimikatz infostealer para robar la contraseña de la cuenta del administrador del dominio y realizar un movimiento lateral. De este modo, los piratas informáticos buscan los datos más valiosos para obligar a la víctima a pagar un rescate más tarde.

Adicionalmente, pudimos detectar restos de escáneres de red remotos, listas de direcciones IP, dispositivos y directorios, RDP para servidores de respaldo, Exploraciones de bases de datos SQL y mucho más.Los analistas de héroes escriben.
Solo después de que todos los archivos valiosos hayan sido robados con éxito, la carga útil del ransomware (llamado Windows.exe) está desplegado. Justo antes de cifrar archivos, una carga útil de Golang también elimina las instantáneas, deshabilita Windows Defender, borra los registros de eventos de Windows, mata los procesos de vinculación de archivos, y detiene el Administrador de cuentas de seguridad para deshabilitar las alertas.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba