Servidores de Microsoft Exchange en la mira del ransomware Hive

Un afiliado al ransomware Hive ha estado apuntando a los servidores de Microsoft Exchange vulnerables a los problemas de seguridad de ProxyShell para implementar backdoor, incluida la baliza Cobalt Strike.

A partir de ahí, los actores de amenazas realizan un reconocimiento de la red, roban las credenciales de la cuenta de administrador, extraen datos valiosos y, en última instancia, implementan la carga útil de cifrado de archivos.

Los detalles provienen de la empresa de seguridad y análisis Varonis, que fue llamada para investigar un ataque de ransomware contra uno de sus clientes.

ProxyShell es un conjunto de tres vulnerabilidades en Microsoft Exchange Server que permiten la ejecución remota de código sin autenticación en implementaciones vulnerables.

Las fallas han sido utilizadas por múltiples actores de amenazas, incluidos ransomware como Conti, BlackByte, Babuk, Cuba y LockFile, después de que las vulnerabilidades estuvieron disponibles.

Las fallas se rastrean como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31297, y su calificación de gravedad varía de 7.2 (alta) a 9.8 (crítica).

Las vulnerabilidades de seguridad se consideraban completamente parchadas a partir de mayo de 2021, pero los detalles técnicos extensos sobre ellas solo estuvieron disponibles en agosto de 2021, y poco después comenzó la explotación maliciosa [1, 2].

El hecho de que el afiliado de Hive haya tenido éxito en la explotación de ProxyShell en un ataque reciente muestra que todavía hay espacio para apuntar a servidores vulnerables.

Luego de la explotación de ProxyShell, los actores maliciosos colocaron cuatro shells web en un directorio de Exchange accesible y ejecutaron el código de PowerShell con altos privilegios para descargar Stagers de Cobalt Strike.

Los shells web utilizados en este ataque en particular se obtuvieron de un repositorio público de Git y simplemente se les cambió el nombre para evadir la detección durante las posibles inspecciones manuales.

Randomly-named web shells
Vía BleepingComputer

A partir de ahí, los intrusos utilizaron Mimikatz, un ladrón de credenciales, para arrebatar la contraseña de una cuenta de administrador de dominio y realizar un movimiento lateral, accediendo a más activos en la red.

Launching a new command prompt on the affected system
Lanzamiento de un nuevo símbolo del sistema en el sistema afectado, vía BleepingComputer

A continuación, los actores de la amenaza realizaron extensas operaciones de búsqueda de archivos para localizar los datos más valiosos y presionar a la víctima para que pagara un rescate mayor.

Los analistas de Varonis han visto restos de escáneres de red descartados, listas de direcciones IP, enumeraciones de dispositivos y directorios, RDP en servidores de respaldo, escaneos de bases de datos SQL y más.

Un caso notable de abuso de software de escaneo de red fue «SoftPerfect», una herramienta liviana que el actor de amenazas usó para enumerar hosts en vivo al hacerles ping y guardar los resultados en un archivo de texto.

Finalmente, y después de que se extrajeron todos los archivos, se soltó y ejecutó una carga útil de ransomware llamada «Windows.exe» en varios dispositivos.

Antes de cifrar los archivos de la organización, la carga útil de Golang eliminó las instantáneas, deshabilitó Windows Defender, borró los registros de eventos de Windows, eliminó los procesos de vinculación de archivos y detuvo el Administrador de cuentas de seguridad para incapacitar las alertas.

Commands executed by the payload
Comandos ejecutados por la carga útil final, vía BleepingComputer

Evolución del ransomware Hive

Hive ha recorrido un largo camino desde que se observó por primera vez en la naturaleza en junio de 2021, y tuvo un comienzo exitoso que llevó al FBI a publicar un informe dedicado sobre sus tácticas e indicadores de compromiso.

En octubre de 2021, la pandilla Hive agregó variantes de Linux y FreeBSD, y en diciembre se convirtió en una de las operaciones de ransomware más activas en frecuencia de ataques.

El mes pasado, los investigadores de Sentinel Labs informaron sobre un nuevo método de ofuscación para ocultar la carga útil empleado por Hive, lo que indica un desarrollo activo.