Threats
O ransomware Hive é utilizado num modelo Ransomware-as-a-Service e, no último ano e meio, já rendeu mais de cem milhões de dólares em resgates
22/11/2022
|
Mais de 1.300 entidades já foram vítimas do ransomware Hive, totalizando mais de cem milhões de dólares em resgates no último ano e meio. Os dados foram revelados num comunicado conjunto das americanas Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), e Department of Health and Human Services (HHS), com o objetivo de sensibilizar as organizações acerca das atividades dos cibercriminosos. Num modelo Ransomware-as-a-Service, ativo desde junho de 2021, as vítimas do Hive vão desde empresas a organizações de infraestruturas críticas. Dependendo do afiliado que dissemina o ransomware Hive, o acesso inicial à rede da vítima pode ser obtido através de Remote Desktop Protocol (RDP), Virtual Private Networks (VPN), ou outros protocolos de conexão remota. Em alguns dos ataques, os atacantes foram vistos a contornar a autenticação multifator (MFA, na sigla em inglês) e a explorar a vulnerabilidade CVE-2020-12812 para ter acesso aos servidores FortiOS. Por outro lado, os investigadores também observaram os afiliados do Hive a enviar emails de phishing com anexos maliciosos e a visarem vulnerabilidades do Microsoft Exchange Server (CVE-2021-31207, CVE-2021-34473, and CVE-2021-34523). Depois de ganharem acesso à rede da vítima, o ransomware tenta identificar e terminar processos relacionados com antimalware, backups e cópias de ficheiros. Antes da encriptação, os cibercriminosos exfiltram os dados de interesse de sistemas Windows, Linux, VMware ESXi e FreeBSD comprometidos. Depois, o Hive cria um ficheiro com a extensão .key no diretório-raiz, necessário para a desencriptação. Um nota de resgate também é deixada nos diretórios, a avisar as vítimas para não modificarem o ficheiro .key – o que impediria a recuperação de dados –, e direcionando-as a contactarem os atacantes através de um chat live num website acessível através do browser Tor. A nota diz, ainda, que se o resgate não for pago, os dados são tornados públicos no site ‘HiveLeaks’. “Assim que a organização-vítima entra em contacto no painel de chat ao vivo, os cibercriminosos da Hive comunicam o valor do resgate e o prazo do pagamento. Os atacantes negoceiam pedidos de resgate em dólares americanos, com montantes iniciais que variam entre vários milhares e os milhões de dólares. Os cibercriminosos do Hive exigem o pagamento em Bitcoin”, dizem as agências. Adicionalmente, as agências alertam que viram os atacantes a reinfectar as vítimas que restauraram os seus sistemas sem pagarem o resgate, seja com o ransomware Hive, seja com outra variante. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
THREATS
Citrix corrige vulnerabilidades críticas no Session Recording Manager
