Threats
O ransomware Hive é utilizado num modelo Ransomware-as-a-Service e, no último ano e meio, já rendeu mais de cem milhões de dólares em resgates
22/11/2022
|
Mais de 1.300 entidades já foram vítimas do ransomware Hive, totalizando mais de cem milhões de dólares em resgates no último ano e meio. Os dados foram revelados num comunicado conjunto das americanas Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), e Department of Health and Human Services (HHS), com o objetivo de sensibilizar as organizações acerca das atividades dos cibercriminosos. Num modelo Ransomware-as-a-Service, ativo desde junho de 2021, as vítimas do Hive vão desde empresas a organizações de infraestruturas críticas. Dependendo do afiliado que dissemina o ransomware Hive, o acesso inicial à rede da vítima pode ser obtido através de Remote Desktop Protocol (RDP), Virtual Private Networks (VPN), ou outros protocolos de conexão remota. Em alguns dos ataques, os atacantes foram vistos a contornar a autenticação multifator (MFA, na sigla em inglês) e a explorar a vulnerabilidade CVE-2020-12812 para ter acesso aos servidores FortiOS. Por outro lado, os investigadores também observaram os afiliados do Hive a enviar emails de phishing com anexos maliciosos e a visarem vulnerabilidades do Microsoft Exchange Server (CVE-2021-31207, CVE-2021-34473, and CVE-2021-34523). Depois de ganharem acesso à rede da vítima, o ransomware tenta identificar e terminar processos relacionados com antimalware, backups e cópias de ficheiros. Antes da encriptação, os cibercriminosos exfiltram os dados de interesse de sistemas Windows, Linux, VMware ESXi e FreeBSD comprometidos. Depois, o Hive cria um ficheiro com a extensão .key no diretório-raiz, necessário para a desencriptação. Um nota de resgate também é deixada nos diretórios, a avisar as vítimas para não modificarem o ficheiro .key – o que impediria a recuperação de dados –, e direcionando-as a contactarem os atacantes através de um chat live num website acessível através do browser Tor. A nota diz, ainda, que se o resgate não for pago, os dados são tornados públicos no site ‘HiveLeaks’. “Assim que a organização-vítima entra em contacto no painel de chat ao vivo, os cibercriminosos da Hive comunicam o valor do resgate e o prazo do pagamento. Os atacantes negoceiam pedidos de resgate em dólares americanos, com montantes iniciais que variam entre vários milhares e os milhões de dólares. Os cibercriminosos do Hive exigem o pagamento em Bitcoin”, dizem as agências. Adicionalmente, as agências alertam que viram os atacantes a reinfectar as vítimas que restauraram os seus sistemas sem pagarem o resgate, seja com o ransomware Hive, seja com outra variante. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS lança alerta de código malicioso
EXPERT
NIS2, DORA e AI: a cibersegurança e os (próximos) desafios estratégicos da nova regulação
ANALYSIS
“A legislação pode sair, mas, se a gestão de topo não entender que é uma necessidade do negócio, nunca vai funcionar”
BLUE TEAM
Warpcom assume compromisso junto de clientes com soluções alinhadas com a transformação digital e a cibersegurança
NEWS
CISA lança sistema de análise de malware de última geração para uso público
THREATS
Falha crítica do Rust permite ataques de injeção de comando no Windows
THREATS
“Mais convincentes e difíceis de detetar”, deepfakes são uma ameaça crescente à segurança organizacional
THREATS
Ciberataque leva a interrupção de operações comerciais da Targus
THREATS
CISA lança avisos para mitigar técnicas de ataque terrestre
THREATS
Milhares de dispositivos Ivanti VPN afetados por vulnerabilidade recente
