Hive Ransomware: Cómo limitar su picadura con la segmentación de confianza cero de Illumio

El grupo ransomware Hive ha estado activo desde mediados de 2021, ganando notoriedad a través del ataque a Sistema de salud conmemorativo. Como el incidente más destacado de Hive hasta la fecha, el ataque cerró toda la plataforma en línea de Memorial, lo que obligó a la organización a redirigir a los pacientes de atención de emergencia a instalaciones fuera de su red. Tan solo este año, es el tercero ransomware ataque que ha afectado directamente a civiles, siguiendo a aquellos en Tubería Colonial y JBS Foods.

Lo que diferencia a Hive de lo menos sofisticado ransomware atacantes que comúnmente adoptan un enfoque de “rociar y orar” (es decir, bloquear tantos sistemas como sea posible en el menor tiempo posible con poco interés en comprometer los datos)?

¿Qué es Hive ransomware?

El grupo ransomware Hive utiliza un juego de “doble extorsión” mediante el cual exfiltran los datos críticos de un objetivo antes de bloquearlo, utilizando ambos como palancas para aumentar el costo del rescate, una táctica que está ganando terreno entre los atacantes.

Dado que el atacante se centra tanto en la interrupción de las operaciones como en el acceso a datos valiosos, se requiere un nivel de interacción y persistencia que va más allá de los ataques de ransomware más comunes centrados en la interrupción. Esto probablemente se deba al tiempo y esfuerzo adicionales necesarios para discernir qué datos son lo suficientemente valiosos como para justificar la exfiltración.

Cómo funciona Hive ransomware

Hive utiliza una variedad de tácticas y técnicas para ejecutar un ataque:

1. El ataque comienza con un ataque de phishing contra usuarios con acceso al entorno de la víctima o mediante correos electrónicos dirigidos que hacen que el usuario descargue involuntariamente el carga maliciosa.

2. La carga útil es a menudo una baliza Cobalt Strike (que curiosamente comenzó como una herramienta utilizada por los probadores de lápiz al simular ataques), que facilitan la persistencia, la devolución de llamada, el movimiento lateral y la entrega de la carga útil secundaria.

3. Lo que sigue a continuación es el vertido de credenciales en el host local y el mapeo del entorno de Active Directory.

4. Movimiento lateral y la difusión más amplia del malware se ve facilitada por el uso del Protocolo de Escritorio Remoto (RDP) de Microsoft. No obstante, también se sabe que el grupo Hive explota vulnerabilidades como un medio para progresar en su ataque. Un ejemplo de ello es la explotación de una vulnerabilidad de administración de endpoints de ConnectWise Automate, si esa herramienta se encuentra en la red de la víctima, una indicación más del riesgo de la cadena de suministro que representan los proveedores de software.

5. La descarga de la carga útil secundaria se facilita mediante instrucciones enviadas a la baliza Cobalt Strike después de que se establece el canal de devolución de llamada saliente. Esta carga útil ejecuta las acciones maliciosas que en última instancia facilitan la demanda de rescate.

6. La carga útil realiza las siguientes acciones:

• Detener servicios que podrían obstaculizar el progreso o generar alertas
• Enumeración de todo el almacenamiento de información conectado para archivos que podrían ser relevantes
• Exfiltración de archivos específicos
• Cifrado local de los mismos archivos
• Creación de nota de rescate
  

Cómo puede ayudar la segmentación de confianza cero de Illumio

Después de la entrada inicial en la organización, el malware y el ransomware comúnmente utilizan el movimiento lateral para propagarse dentro de un entorno, explotando el acceso a credenciales de usuario adecuadas.

Hive aprovecha el Protocolo de Escritorio Remoto (RDP) para moverse lateralmente. El RDP a menudo se deja accesible para facilitar tanto el acceso remoto como la administración remota, y como resultado es un vector de ataque de ransomware inicial popular.

Ante esto, hay algunos pasos que las organizaciones pueden tomar para mejorar sus defensas contra el ransomware Hive usando Núcleo de Illumio:

• Monitor: Implemente agentes de Illumio en todos los endpoints y monitoree los flujos de tráfico. Esto proporcionará visibilidad de todos los flujos hacia y desde los endpoints y puede ser utilizado por el Centro de Operaciones de Seguridad (SOC) para identificar conexiones RDP fuera de los patrones de comportamiento normales y conexiones salientes con actores defectuosos conocidos (por ejemplo, la infraestructura de Comando y Control de Hive).
• Limitar exposición: Cuanto más abierto sea el acceso entre cargas de trabajo, más rápido se propagará el ransomware. Sabiendo que no se requiere RDP ubicuo, aproveche Límites de aplicación para bloquear RDP de forma predeterminada entre endpoints. Las reglas de excepción se pueden escribir para garantizar que aún se permita el acceso desde hosts administrativos y gateways de acceso remoto. Esto debería limitar la rapidez con la que se puede propagar el ransomware.
• Las organizaciones pueden mejorar aún más este control mediante el aprovechamiento de Illumio Core Segmentación Adaptativa de Usuarios capacidad, lo que garantiza que sólo los usuarios asociados con un grupo autorizado de Active Directory puedan RDP desde los jumphosts dedicados.
• Para limitar la efectividad del canal de devolución de llamada C2, implemente un concepto de límite similar para denegar el acceso a cualquier IP pública o FQDN asociado con Hive y mantenerlos actualizados regularmente.
• Contienen: Cuando el SOC identifica una carga de trabajo que puede estar infectada, se podría ejecutar un manual de respuesta para implementar una carga de trabajo de cuarentena en el destino, asegurando así que el único acceso a la misma sea desde máquinas de investigación autorizadas y herramientas forenses.

Proteger a su organización contra el ransomware es difícil. Pero Illumio Core hace que sea fácil detener el ransomware, mitigando significativamente el impacto de una violación.

Para obtener más información:

• Visitar Illumino's visibilidad y contención de ransomware página.
• Lea el documento, Cómo evitar que el ransomware se convierta en un desastre cibernético.
• Echa un vistazo a la publicación del blog, 9 razones para usar Illumio para combatir el ransomware.