Grupo Hive de Ransomware que se destacou em 2021 está de volta; saiba como se proteger

O Grupo Hive já foi assunto dos nossos relatórios de segurança, devido ao seu destaque no mundo cibernético. Trazemos de volta o tema sobre este ransomware, que hoje tem uma grande possibilidade de correlação com o Nokoyawa devido ao compartilhamento de algumas semelhanças em suas cadeias de ataque, desde as ferramentas usadas até a ordem em que executam várias etapas.

Leia mais relatórios de segurança como esse no Twitter do nosso time de threat intel. Acesse e siga twitter.com/heimdallish

O ransomware Hive, foi observado pela primeira vez em junho de 2021 e provavelmente opera como um ransomware baseado em afiliados, utilizando uma grande variedade de Táticas, Técnicas e Procedimentos (TTPs), sendo um desafio para defesa e mitigação.

Vários vetores de comprometimento são usados, incluindo phishing com anexos maliciosos e área de trabalho remota (RDP) para mover-se lateralmente na rede. Uma vez que o acesso à rede foi estabelecido, o Hive busca processos relacionados a backups, antivírus/antispyware e cópia de arquivos para encerrá-los e, com isso, facilitar a criptografia de arquivos, que geralmente terminam com a extensão *.key.hive ou *.key.*.

Alguns dos indicadores compartilhados pelo Nokoyawa e Hive incluem o uso de Cobalt Strike, bem como o uso de ferramentas legítimas, como o anti-rootkit scanners GMER e PC Hunter para evasão de defesa. Outras etapas, como coleta de informações e implantação lateral, também são semelhantes.

O Hive, em sua página na dark web – HiveLeaks, registra pelo menos 70 vítimas até então. Usando a dupla extorsão, exigem dinheiro para a recuperação dos arquivos criptografados, e ameaçam vazar os dados exfiltrados da vítima caso o pagamento não seja feito.

MITRE ATT&CK

Ao analisar o arquivo xxx.exe relacionado ao Hive, identifica-se ao menos três TTPs utilizados para o ataque:

TTPIDTÁTICA
System Information DiscoveryT1082Descoberta
Remote Services: Remote Desktop ProtocolT1021.001Movimento Lateral
Obfuscated Files or Information: Software PackingT1027.002Evasão de Defesa
   

System Information Discovery

Obtenção de informações detalhadas sobre o sistema operacional e o hardware, incluindo versão, patches, hotfixes, service packs e arquitetura. Tais informações podem ser utilizadas para moldar comportamentos subsequentes, incluindo se o adversário irá infectar totalmente ou não o alvo e/ou tentar ações específicas.

Remote Services: Remote Desktop Protocol

Os atacantes podem usar contas válidas para fazer login em um computador usando o Remote Desktop Protocol (RDP) e então executar ações com os privilégios do usuário conectado.

A área de trabalho remota é um recurso comum em sistemas operacionais e permite que o usuário faça login em um sistema remoto. Credenciais previamente vazadas são utilizadas nessas tentativas de acesso.

Obfuscated Files or Information: Software Packing

Técnica utilizada para ocultar código malicioso. O pacote de software é um método de compactar ou criptografar um executável. A compactação de um executável altera a assinatura do arquivo na tentativa de evitar a detecção baseada em assinatura.

IOCS

Alguns Indicadores de Comprometimento estão listados abaixo, a fim de auxiliar na detecção dessas possíveis ameaças.

Onion Link: hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion

Alguns sites de compartilhamento de arquivos podem ser utilizados, tais como:

  • https://anonfiles.com
  • https://mega.nz
  • https://send.exploit.in
  • https://ufile.io
  • https://www.sendspace.com

Alguns dos indicadores a seguir podem ser de aplicativos legítimos, no entanto, esses aplicativos podem ser usados por agentes de ameaças durante ataques. Recomenda-se remover qualquer aplicativo não considerado necessário para as operações do dia a dia.

Winlo.exe
MD5b5045d802394f4560280a7404af69263
SHA256321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c
DiretórioC:\Windows\SysWOW64\winlo.exe
DescriçãoEntrega o 7zG.exe
7zG.exe
MD504FB3AE7F05C8BC333125972BA907398
DescriçãoEste é um 7zip legítimo, versão 19.0.0; entrega o Winlo_dump_64_SCY.exe
Winlo_dump_64_SCY.exe
MD5BEE9BA70F36FF250B31A6FDF7FA8AFEB
DescriçãoResponsável por encriptar arquivos com a extensão *.key.*; entrega o HOW_TO_DECRYPT.txt
HOW_TO_DECRYPT.txt 
DescriçãoPara e desativa o Windows Defender;

Exclui todas as definições do Windows Defender;

Remove o menu de contexto do Windows Defender;

Interrompe os seguintes serviços e desativa a sua reinicialização:  

– LanmanWorkstation
– SamSs
– SDRSVC
– SstpSVc
– UI0Detect
– Vmicvss
– Vmss
– VSS
– Wbengine
– Unistoresvc  

Tenta excluir cópias de sombra de volume (vssadmin e wmic);

Exclui Logs de Eventos do Windows: Sistema, Segurança, Aplicativo e PowerShell;

Usa o notepad ++ para criar o arquivo de chave;

Altera a inicialização para ignorar erros e não tentar a recuperação do sistema;

Entrega o script PowerShell.
Outros IoCs
*.key.hive
*.key.*
HOW_TO_DECRYPT.txt
hive.bat
shadow.bat
vssadmin.exe delete shadows /all /quiet
wmic.exe SHADOWCOPY /nointeractive
wmic.exe shadowcopy delete
wevtutil.exe cl system
wevtutil.exe cl security
wevtutil.exe cl application
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {default} recoveryenabled no
Glary Utilities 5
xxx.exe
75.exe
3.exe
adf.bat
Microsoft Toolkit
Re-Loader By R@1n
a42_96.exe_.sa
Get-DataInfo.ps1
ss64.dll
VeeamUpdate.exe
Hashes
9C1F3E66B8884F0456946D1D4A9A0498CEEE243B9236E46B89EBFA965AF20CD1 897DF847C4B18F94586CA774DCFC388F65B4AEEADA7BE4287C519A32EB8FA2FE 8B8814921DC2B2CB6EA3CFC7295803C72088092418527C09B680332C92C33F1F 59453328A70BAB61A63341C16A6A165B5DF9831D56AC1BF9DA6B847C0B8E949C 00FF9536BFEFF1148165F8258C9843FC08BCFA2A5EB1E24370FB0F4A9C44FAC7 F6A377BA145A5503B5EB942D17645502EDDF3A619D26A7B60DF80A345917AAA2 5823C96C448770EF030B20F0EAD8A2562664682BBF1BB3B101D9D2107C14D083 391C989D2103DD488D9D4C2C8E1776BC6264F613656BB5BEBCD7722DB22160E7 8942A30C730323A16F67F25BC9125ADFEABFCB9BF737A8F4C22D1038EBB22FB0 A290CE75C6C6B37AF077B72DC9C2C347A2EEDE4FAFA6551387FA8469539409C7 C170717A69847BB7B050832C55FCD2A214E9180C8CDE5F86088BD4E5266E2FD9 E551275AA089805C48EC1734D3D4ECD03997663E58892323BF174F0B7EB52504 a70729b3241154d81f2fff506e5434be0a0c381354a84317958327970a125507 2ef9a4f7d054b570ea6d6ae704602b57e27dee15f47c53decb16f1ed0d949187 e097cde0f76df948f039584045acfa6bd7ef863141560815d12c3c6e6452dce4

CONCLUSÃO

Apesar de serem ameaças relativamente novas, estas vêm causando grandes prejuízos e danos a empresas no mundo inteiro. Tais famílias de ransomware já afetaram organizações brasileiras e devem estar no radar para possível detecção. Por isso, recomenda-se a utilização dos IoCs apresentados, bem como a implementação das recomendações listadas a seguir.

RECOMENDAÇÕES

1. Mantenha backups de dados criptografados e offline e teste-os com frequência. Os procedimentos de backup devem ser realizados regularmente. É importante que eles sejam mantidos offline, pois muitas variantes de ransomware tentam localizar e excluir ou criptografar backups acessíveis.

2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de recuperação e um plano de comunicações associado.

  • O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Recomendamos o CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
  • O plano de recuperação deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética.

3. Mitigar vulnerabilidades e configurações incorretas de serviços voltados para a Internet para reduzir o risco de atores que exploram essa superfície de ataque:

a. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os atores da ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware.

Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação multifator (MFA) e registre tentativas de login RDP.

b. Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, como ransomware. Tirando proveito desses serviços, as organizações de qualquer porte receberão recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque.

c. Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet – bem como software de processamento de dados da Internet, navegadores da web, plug-ins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as atenuações disponibilizadas pelo fornecedor.

d. Certifique-se de que os dispositivos estejam configurados corretamente e os recursos de segurança ativados; por exemplo, desativar portas e protocolos que não estão sendo usados ​​para uma finalidade comercial.

e. Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative as versões desatualizadas do SMB.

4. Reduza o risco de e-mails de phishing chegarem aos usuários finais:

a. Habilitando filtros de spam.

b. Implementando um programa de conscientização e treinamento do usuário de segurança cibernética que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.

5. Utilize as melhores práticas disponíveis de segurança cibernética:

a. Garanta que todos os softwares antivírus, antimalwares e assinaturas estejam atualizados.

b. Implemente a lista de permissões de aplicativos (application allowlisting).

c. Garanta que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios.

d. Empregue MFA para todos os serviços que forem possíveis, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos.

REFERÊNCIAS

  1. Mitre Att&ck
  2. ic3.gov
  3. Trendmicro
  4. Checkpoint
  5. CISA
  6. FBI
  7. Crowdstrike