Threats

Agências dos EUA alertam para ransomware que atingiu mais de 1.300 organizações

O ransomware Hive é utilizado num modelo Ransomware-as-a-Service e, no último ano e meio, já rendeu mais de cem milhões de dólares em resgates

22/11/2022

Agências dos EUA alertam para ransomware que atingiu mais de 1.300 organizações

Mais de 1.300 entidades já foram vítimas do ransomware Hive, totalizando mais de cem milhões de dólares em resgates no último ano e meio. Os dados foram revelados num comunicado conjunto das americanas Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), e Department of Health and Human Services (HHS), com o objetivo de sensibilizar as organizações acerca das atividades dos cibercriminosos. 

Num modelo Ransomware-as-a-Service, ativo desde junho de 2021, as vítimas do Hive vão desde empresas a organizações de infraestruturas críticas. Dependendo do afiliado que dissemina o ransomware Hive, o acesso inicial à rede da vítima pode ser obtido através de Remote Desktop Protocol (RDP), Virtual Private Networks (VPN), ou outros protocolos de conexão remota.

Em alguns dos ataques, os atacantes foram vistos a contornar a autenticação multifator (MFA, na sigla em inglês) e a explorar a vulnerabilidade CVE-2020-12812 para ter acesso aos servidores FortiOS. Por outro lado, os investigadores também observaram os afiliados do Hive a enviar emails de phishing com anexos maliciosos e a visarem vulnerabilidades do Microsoft Exchange Server (CVE-2021-31207, CVE-2021-34473, and CVE-2021-34523).

Depois de ganharem acesso à rede da vítima, o ransomware tenta identificar e terminar processos relacionados com antimalware, backups e cópias de ficheiros. Antes da encriptação, os cibercriminosos exfiltram os dados de interesse de sistemas Windows, Linux, VMware ESXi e FreeBSD comprometidos. Depois, o Hive cria um ficheiro com a extensão .key no diretório-raiz, necessário para a desencriptação. 

Um nota de resgate também é deixada nos diretórios, a avisar as vítimas para não modificarem o ficheiro .key – o que impediria a recuperação de dados –, e direcionando-as a contactarem os atacantes através de um chat live num website acessível através do browser Tor. A nota diz, ainda, que se o resgate não for pago, os dados são tornados públicos no site ‘HiveLeaks’.

Assim que a organização-vítima entra em contacto no painel de chat ao vivo, os cibercriminosos da Hive comunicam o valor do resgate e o prazo do pagamento. Os atacantes negoceiam pedidos de resgate em dólares americanos, com montantes iniciais que variam entre vários milhares e os milhões de dólares. Os cibercriminosos do Hive exigem o pagamento em Bitcoin”, dizem as agências.

Adicionalmente, as agências alertam que viram os atacantes a reinfectar as vítimas que restauraram os seus sistemas sem pagarem o resgate, seja com o ransomware Hive, seja com outra variante.

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº8 Outubro 2022

IT SECURITY Nº8 Outubro 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.