Especialistas alertam que gangue de ransomware Hive pode detectar servidores não corrigidos

O grupo de ameaças Hive tem como alvo organizações dos setores financeiro, de energia e de saúde como parte de uma ação coordenada ransomware ataques desde junho de 2021.

Durante os ataques, o grupo explora vulnerabilidades do ProxyShell em Troca MSFT servidores para executar remotamente comandos arbitrários e criptografar os dados de empresas com essa variedade exclusiva de ransomware.

O grupo é altamente organizado, com Varonis equipe de pesquisa descobriu recentemente que um agente de ameaças conseguiu entrar no ambiente de uma organização e criptografar os dados de destino com a variedade de ransomware em menos de 72 horas.

Esses ataques são particularmente preocupantes, pois os servidores de troca não corrigidos podem ser descobertos publicamente por meio de rastreadores da Internet. “Qualquer pessoa com um servidor de troca sem patch está em risco”, disse Peter Firstbrook, analista do Gartner.

“Mesmo as organizações que migraram para a versão em nuvem do Trade muitas vezes ainda têm alguns servidores locais do Trade que podem ser explorados se não forem corrigidos. Já existem ameaças circulando e servidores não corrigidos podem ser detectados com um rastreador da Internet, portanto, é altamente provável que servidores não corrigidos sejam explorados”, acrescentou Firstbrook.

Quanto de risco o ProxyShell apresenta?

Apesar da importância dessas vulnerabilidades, muitas organizações não conseguiram corrigir seus servidores Trade locais (essas vulnerabilidades não afetam os servidores Trade on-line ou Place of job 365).

Ano passado, Mandiant relataram que cerca de 30.000 Trade Servers permanecem sem correção e ataques recentes destacam que muitas organizações demoraram a atualizar seus sistemas.

Isso é problemático, pois as vulnerabilidades permitem que um invasor execute remotamente comandos arbitrários e códigos mal-intencionados no Microsoft Trade Server por meio da porta 443.

“Os invasores continuam explorando as vulnerabilidades do ProxyShell que foram divulgadas inicialmente há mais de oito meses. Eles provaram ser um recurso confiável para invasores desde sua divulgação, apesar de os patches estarem disponíveis”, disse Claire Tills, engenheira de pesquisa sênior da Tenable.

“Os ataques mais recentes de uma afiliada do grupo Hive ransomware são ativados pela onipresença do Microsoft Trade e aparentes atrasos na correção dessas vulnerabilidades de meses. Organizações em todo o mundo em diversos setores usam o Microsoft Trade para funções críticas de negócios, tornando-o um alvo best para os agentes de ameaças.”

De acordo com Tills, as organizações que não conseguem corrigir seus servidores de troca permitem que os invasores reduzam a quantidade de reconhecimento e as etapas imediatas necessárias para se infiltrar nos sistemas de destino.

Detectando intrusões do ProxyShell

As organizações que demoram a corrigir, como organizações de TI menos maduras ou com poucos funcionários, podem cair na armadilha de pensar apenas porque não há sinais óbvios de intrusão de que ninguém usou o ProxyShell para se firmar no ambiente – mas isso não é t sempre o caso.

Firstbrook observa que, embora “os ataques de ransomware sejam óbvios para as organizações quando ocorrerem, no entanto, existem muitas outras técnicas de ataque que [be] muito mais furtivo, portanto, a ausência de ransomware não significa que o servidor Trade já não esteja comprometido.”

É por esta razão que Brian Donohue, um dos principais especialistas em segurança da informação da Canário Vermelho, recomenda que as organizações garantam que podem detectar a execução Cobalt Strike ou Mimikatz, mesmo que não possam atualizar o Trade.

“Ter ampla defesa em profundidade contra uma ampla gama de ameaças significa que, mesmo que você não consiga corrigir seus servidores Trade ou que o adversário esteja usando técnicas comerciais totalmente novas em certas partes do ataque, você ainda poderá capturar a atividade de Mimikatz ou pode ter um alerta que procura o PowerShell fortemente ofuscado que está sendo usado pelo Cobalt Strike – tudo isso acontece antes que qualquer coisa seja criptografada”, disse Donohue.

Em outras palavras, as empresas que não corrigiram as vulnerabilidades ainda podem se proteger usando detecção e resposta gerenciadas e outras soluções de segurança para detectar atividades maliciosas que vêm antes da criptografia de ransomware, para que possam responder antes que seja tarde demais.