{"id":4891,"date":"2021-09-03T19:02:35","date_gmt":"2021-09-03T22:02:35","guid":{"rendered":"https:\/\/www.acpdbrasil.com\/?p=4891"},"modified":"2021-09-03T19:06:15","modified_gmt":"2021-09-03T22:06:15","slug":"vamos-falar-do-ransomware-hive","status":"publish","type":"post","link":"https:\/\/www.acpdbrasil.com\/en\/vamos-falar-do-ransomware-hive\/","title":{"rendered":"Vamos falar do ransomware Hive?"},"content":{"rendered":"

Ransomware<\/em> Hive. H\u00e1 cerca de uma semana, o Federal Bureau of Investigation (FBI) publicou um alerta<\/a>, com o objetivo de prover ajuda a profissionais de ciberseguran\u00e7a e guardi\u00f5es de sistemas contra a\u00e7\u00f5es persistentes e maliciosas de cibercriminosos.<\/p>\n\n\n\n

O ransomware<\/em> Hive foi observado pela primeira vez em junho deste ano. Esta nova amea\u00e7a faz uso de v\u00e1rios mecanismos para comprometer as redes de neg\u00f3cios, incluindo e-mails de phishing<\/em> com anexos maliciosos para obter acesso e Remote Desktop Protocol<\/em> (RDP), que \u00e9 utilizado para comunica\u00e7\u00e3o entre o Servidor e o Cliente.<\/p>\n\n\n\n

O sistema da sa\u00fade, da Universidade do Novo M\u00e9xico, notificou pacientes, no in\u00edcio deste m\u00eas, sobre um recente incidente de ciberseguran\u00e7a que resultou a exposi\u00e7\u00e3o de dados pessoais e dados pessoais sens\u00edveis. Estima-se que os dados de cerca de 600 mil indiv\u00edduos foram expostos. De acordo com o site do pr\u00f3prio hospital universit\u00e1rio, em 4 de junho de 2021 identificou que atores externos obtiveram acesso n\u00e3o autorizado a sua rede. Alguns arquivos suspeitos foram encontrados na rede.<\/p>\n\n\n\n

Depois de comprometer a rede de determinada organiza\u00e7\u00e3o, os cibercriminosos, atrav\u00e9s do ransomware<\/em> Hive, extraem dados e criptografam arquivos desta rede. Os cibercriminosos, geralmente deixam uma nota de resgate em cada diret\u00f3rio afetado dentro do sistema da organiza\u00e7\u00e3o. Estas notas costumam fornecer instru\u00e7\u00f5es sobre como adquirir o aplicativo de descriptografia, al\u00e9m de amea\u00e7ar vazar os dados da organiza\u00e7\u00e3o, no site do Tor, \u201cHiveLeaks\u201d.<\/p>\n\n\n\n

A final, o que \u00e9 ransomware?<\/h2>\n\n\n\n

Ransomware \u00e9 uma forma de malware<\/em> em constante evolu\u00e7\u00e3o, projetada para criptografar arquivos em um dispositivo, tornando todos os arquivos e sistemas que dependem deles inutiliz\u00e1veis. cibercriminosos ent\u00e3o exigem resgate em troca de reverterem as criptografias dos arquivos afetados. Se quiser se aprofundar um pouco mais sobre o que \u00e9 ransomware, clique aqui<\/a>.<\/p>\n\n\n\n

Detalhes t\u00e9cnicos<\/h2>\n\n\n\n

O ransomware<\/em> Hive busca processos relacionados a backups, antiv\u00edrus, anti-spywares e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com uma extens\u00e3o .hive. Em seguida, o ransomware<\/em> Hive coloca um script<\/em> hive.bat no diret\u00f3rio, o que imp\u00f5e um atraso de tempo limite de execu\u00e7\u00e3o de um segundo para realizar a limpeza depois que a criptografia \u00e9 conclu\u00edda, excluindo o execut\u00e1vel Hive e o script hive.bat. Um segundo arquivo, shadow.bat, \u00e9 colocado no diret\u00f3rio para excluir c\u00f3pias de espelhamento, incluindo c\u00f3pias de backup<\/em> de disco ou instant\u00e2neos, sem notificar a v\u00edtima e, em seguida, exclui o arquivo shadow.bat.<\/p>\n\n\n\n

Durante o processo de criptografia, os arquivos criptografados s\u00e3o renomeados com a extens\u00e3o final dupla de *.key.hive ou *.key.<\/p>\n\n\n\n

A nota de resgate, \u201cHOW_TO_DECRYPT.txt\u201d \u00e9 colocada em cada diret\u00f3rio afetado e afirma que o arquivo *.key. n\u00e3o pode ser modificado, renomeado ou exclu\u00eddo, caso contr\u00e1rio, os arquivos criptografados n\u00e3o poder\u00e3o ser recuperados. A nota cont\u00e9m um link, acess\u00edvel por meio de um navegador TOR, permitindo que as v\u00edtimas contatem os cibercriminos por meio de um chat, em tempo real. Algumas v\u00edtimas relataram ter recebido liga\u00e7\u00f5es de cibercriminos do Hive solicitando pagamento por seus arquivos. O prazo inicial de pagamento oscila de 2 a 6 dias<\/p>\n\n\n\n

Indicadores de comprometimento de um sistema<\/h2>\n\n\n\n

\u00c9 importante reiterarmos que o FBI recomenda a remo\u00e7\u00e3o de qualquer aplicativo n\u00e3o considerado necess\u00e1rio para as opera\u00e7\u00f5es do dia a dia, de uma organiza\u00e7\u00e3o. Os indicadores abaixo foram utilizados por cibercriminosos durante comprometimentos de redes com o uso do ransomware<\/em> Hive. Alguns desses indicadores podem aparecer como aplicativos dentro de uma organiza\u00e7\u00e3o, oferecendo suporte a prop\u00f3sitos leg\u00edtimos, e est\u00e3o descritos a seguir:<\/p>\n\n\n\n