Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

Hive Ransomware: como limitar sua ação com a segmentação Illumio Zero Trust

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
September 29, 2021
23 leitura mínima

O grupo de ransomware Hive está ativo desde meados de 2021, ganhando notoriedade por meio do ataque ao Sistema de Saúde Memorial. Como o incidente mais proeminente da Hive até o momento, o ataque fechou toda a plataforma on-line do Memorial, forçando a organização a redirecionar pacientes de atendimento de emergência para instalações fora de sua rede. Só neste ano, é o terceiro ransomware ataque que afetou diretamente civis — seguindo aqueles em Pipeline colonial e a JBS Foods.

O que diferencia o Hive dos menos sofisticados ransomware atacantes que geralmente adotam uma abordagem de “pulverizar e rezar” (ou seja, bloquear o maior número possível de sistemas no menor tempo possível, com pouco interesse em comprometer os dados)?

O que é o ransomware Hive?

O grupo de ransomware Hive utiliza uma estratégia de “dupla extorsão”, na qual eles exfiltram os dados críticos de um alvo antes de bloqueá-los, usando ambos como alavancas para aumentar o custo do resgate — uma tática que está ganhando força entre os atacantes.

Como o atacante está focado tanto na interrupção das operações quanto no acesso a dados valiosos, é necessário um nível de interação e persistência que vai além dos ataques mais comuns de ransomware focados em interrupções. Provavelmente, isso se deve ao tempo e esforço adicionais necessários para discernir quais dados são valiosos o suficiente para garantir a exfiltração.

Como funciona o ransomware Hive

O Hive usa uma variedade de táticas e técnicas para executar um ataque:

1. O ataque começa com um ataque de phishing contra usuários com acesso ao ambiente da vítima ou por e-mails direcionados que fazem com que o usuário baixe involuntariamente o carga maliciosa.

2. A carga útil geralmente é um farol do Cobalt Strike (que curiosamente começou como uma ferramenta usada por testadores de caneta ao simular ataques) — eles facilitam a persistência, o retorno da chamada, o movimento lateral e a entrega da carga secundária.

3. O que se segue é o despejo de credenciais no host local e o mapeamento do ambiente do Active Directory.

4. Movimento lateral e a disseminação mais ampla do malware é facilitada pelo uso do Remote Desktop Protocol (RDP) da Microsoft. No entanto, o grupo Hive também é conhecido por explorar vulnerabilidades como meio de progredir no ataque. Um exemplo disso é a exploração de uma vulnerabilidade de gerenciamento de endpoints do ConnectWise Automate, se essa ferramenta for encontrada na rede da vítima — mais uma indicação do risco da cadeia de suprimentos representado pelos fornecedores de software.

5. O download da carga secundária é facilitado pelas instruções enviadas ao farol Cobalt Strike após o estabelecimento do canal de retorno de chamada de saída. Essa carga útil executa as ações maliciosas que, em última análise, facilitam a demanda de resgate.

6. A carga útil executa as seguintes ações:

  • Interromper serviços que poderiam impedir o progresso ou gerar alertas
  • Enumeração de todo o armazenamento anexado para arquivos que possam ser relevantes
  • Exfiltração de arquivos específicos
  • Criptografia local dos mesmos arquivos
  • Criação de nota de resgate

Como a segmentação Zero Trust da Illumio pode ajudar

Após a entrada inicial na organização, o malware e o ransomware geralmente usam o movimento lateral para se espalhar em um ambiente, explorando o acesso às credenciais de usuário adequadas.

O Hive aproveita o Remote Desktop Protocol (RDP) para se mover lateralmente. O RDP geralmente fica acessível para facilitar o acesso remoto e a administração remota — e, como resultado, é um popular vetor inicial de ataque de ransomware.

Diante disso, existem algumas etapas que as organizações podem tomar para melhorar suas defesas contra o ransomware Hive usando Núcleo Illumio:

  • Monitor: Implante agentes Illumio em todos os endpoints e monitore os fluxos de tráfego. Isso fornecerá visibilidade de todos os fluxos de e para endpoints e pode ser usado pelo Centro de Operações de Segurança (SOC) para identificar conexões RDP fora dos padrões normais de comportamento e conexões de saída com agentes mal-intencionados conhecidos (por exemplo, a infraestrutura de Comando e Controle do Hive).
  • Limitar a exposição: Quanto mais aberto o acesso entre as cargas de trabalho, mais rápido o ransomware pode se espalhar. Sabendo que o RDP onipresente não é necessário, aproveite Limites de fiscalização para bloquear o RDP por padrão entre os endpoints. As regras de exceção podem ser escritas para garantir que o acesso de hosts administrativos e gateways de acesso remoto ainda seja permitido. Isso deve limitar a rapidez com que o ransomware pode se espalhar.
  • As organizações podem aprimorar ainda mais esse controle aproveitando o Illumio Core Segmentação adaptativa de usuários recurso, que garante que somente usuários associados a um grupo autorizado do Active Directory possam fazer o RDP a partir dos jumphosts dedicados.
  • Para limitar a eficácia do canal de retorno de chamada C2, implemente um conceito de limite semelhante para negar acesso a qualquer IP público ou FQDN associado ao Hive e mantenha-os atualizados regularmente.
  • Contenha: Quando o SOC identifica uma carga de trabalho que pode estar infectada, um manual de resposta pode ser executado para implementar uma carga de trabalho de quarentena no alvo, garantindo assim que o único acesso a ela seja feito por máquinas investigativas autorizadas e ferramentas forenses.

Proteger sua organização contra ransomware é difícil. Mas o Illumio Core facilita a interrupção do ransomware, mitigando significativamente o impacto de uma violação.

Para saber mais:

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

O que fazer em um incidente cibernético, parte 2: resposta não técnica
Contenção de ransomware

O que fazer em um incidente cibernético, parte 2: resposta não técnica

Leia mais
Como usar a visibilidade baseada em riscos para proteção contra ransomware, conformidade e muito mais
Contenção de ransomware

Como usar a visibilidade baseada em riscos para proteção contra ransomware, conformidade e muito mais

Saiba como identificar os riscos de segurança e obter a visibilidade necessária para proteção contra ransomware, conformidade e muito mais.

Leia mais
Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware
Contenção de ransomware

Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware

Obtenha informações sobre a criação de redes seguras contra a propagação de ataques de ransomware.

Leia mais
9 razões para usar o Illumio para conter ransomware
Contenção de ransomware

9 razões para usar o Illumio para conter ransomware

Descubra como a visibilidade em tempo real e os controles simples da Illumio reduzirão rapidamente suas maiores fontes de riscos de ransomware, como portas RDP não utilizadas.

Leia mais
Combata rapidamente o ransomware com limites de fiscalização
Produtos Illumio

Combata rapidamente o ransomware com limites de fiscalização

Você tem duas formas principais de combater o ransomware. Você também pode ser proativo, trabalhando para bloquear ataques futuros. Ou você pode ser reativo, respondendo a uma violação ativa.

Leia mais
4 princípios fundamentais para se proteger contra ransomware
Contenção de ransomware

4 princípios fundamentais para se proteger contra ransomware

Observar e implementar esses 4 princípios fundamentais ajudará você a proteger sua organização quando se trata de como se defender contra o ransomware. Leia mais

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais