+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Vamos falar do ransomware Hive?

Conformidade, Proteção e Privacidade de Dados

Hive Ramsonware

Ransomware Hive. Há cerca de uma semana, o Federal Bureau of Investigation (FBI) publicou um alerta, com o objetivo de prover ajuda a profissionais de cibersegurança e guardiões de sistemas contra ações persistentes e maliciosas de cibercriminosos.

O ransomware Hive foi observado pela primeira vez em junho deste ano. Esta nova ameaça faz uso de vários mecanismos para comprometer as redes de negócios, incluindo e-mails de phishing com anexos maliciosos para obter acesso e Remote Desktop Protocol (RDP), que é utilizado para comunicação entre o Servidor e o Cliente.

O sistema da saúde, da Universidade do Novo México, notificou pacientes, no início deste mês, sobre um recente incidente de cibersegurança que resultou a exposição de dados pessoais e dados pessoais sensíveis. Estima-se que os dados de cerca de 600 mil indivíduos foram expostos. De acordo com o site do próprio hospital universitário, em 4 de junho de 2021 identificou que atores externos obtiveram acesso não autorizado a sua rede. Alguns arquivos suspeitos foram encontrados na rede.

Depois de comprometer a rede de determinada organização, os cibercriminosos, através do ransomware Hive, extraem dados e criptografam arquivos desta rede. Os cibercriminosos, geralmente deixam uma nota de resgate em cada diretório afetado dentro do sistema da organização. Estas notas costumam fornecer instruções sobre como adquirir o aplicativo de descriptografia, além de ameaçar vazar os dados da organização, no site do Tor, “HiveLeaks”.

A final, o que é ransomware?

Ransomware é uma forma de malware em constante evolução, projetada para criptografar arquivos em um dispositivo, tornando todos os arquivos e sistemas que dependem deles inutilizáveis. cibercriminosos então exigem resgate em troca de reverterem as criptografias dos arquivos afetados. Se quiser se aprofundar um pouco mais sobre o que é ransomware, clique aqui.

Detalhes técnicos

O ransomware Hive busca processos relacionados a backups, antivírus, anti-spywares e os encerra para facilitar a criptografia de arquivos. Os arquivos criptografados geralmente terminam com uma extensão .hive. Em seguida, o ransomware Hive coloca um script hive.bat no diretório, o que impõe um atraso de tempo limite de execução de um segundo para realizar a limpeza depois que a criptografia é concluída, excluindo o executável Hive e o script hive.bat. Um segundo arquivo, shadow.bat, é colocado no diretório para excluir cópias de espelhamento, incluindo cópias de backup de disco ou instantâneos, sem notificar a vítima e, em seguida, exclui o arquivo shadow.bat.

Durante o processo de criptografia, os arquivos criptografados são renomeados com a extensão final dupla de *.key.hive ou *.key.

A nota de resgate, “HOW_TO_DECRYPT.txt” é colocada em cada diretório afetado e afirma que o arquivo *.key. não pode ser modificado, renomeado ou excluído, caso contrário, os arquivos criptografados não poderão ser recuperados. A nota contém um link, acessível por meio de um navegador TOR, permitindo que as vítimas contatem os cibercriminos por meio de um chat, em tempo real. Algumas vítimas relataram ter recebido ligações de cibercriminos do Hive solicitando pagamento por seus arquivos. O prazo inicial de pagamento oscila de 2 a 6 dias

Indicadores de comprometimento de um sistema

É importante reiterarmos que o FBI recomenda a remoção de qualquer aplicativo não considerado necessário para as operações do dia a dia, de uma organização. Os indicadores abaixo foram utilizados por cibercriminosos durante comprometimentos de redes com o uso do ransomware Hive. Alguns desses indicadores podem aparecer como aplicativos dentro de uma organização, oferecendo suporte a propósitos legítimos, e estão descritos a seguir:

  • Winlo.exe;
  • Winlo_dump_64_SCY.exe;
  • HOW_TO_DECRYPT.txt;
  • *.key.hive;
  • *.key.*;
  • hive.bat;
  • shadow.bat;
  • vssadmin.exe;
  • wmic.exe;
  • wevtutil.exe;
  • bcdedit.exe;
  • cdedit.exe;
  • https://anonfiles.com;
  • https://mega.nz;
  • https://send.exploit.in;
  • https://ufile.io;
  • https://www.sendspace.com.

A seguir, exemplo de nota relacionada ao ransomware Hive:

Your network has been breached and all data were encrypted.

Personal data, financial reports and important documents are ready to disclose.

To decrypt all the data or to prevent exfiltrated files to be disclosed at

http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/

you will need to purchase our decryption software.

Please contact our sales department at:

REDACTED

Login: REDACTED

Password: REDACTED

To get access to .onion websites download and install Tor Browser at:

https://www.torproject.org/ (Tor Browser is not related to us)

Follow the guidelines below to avoid losing your data:

  • Do not shutdown or reboot your computers, unmount external storages.
  • Do not try to decrypt data using third party software. It may cause irreversible damage.
  • Do not fool yourself. Encryption has perfect secrecy and it’s impossible to decrypt without knowing the key.
  • Do not modify, rename or delete *.key.k6thw files. Your data will be undecryptable.
  • Do not modify or rename encrypted files. You will lose them.
  • Do not report to authorities. The negotiation process will be terminated immediately and the key will be erased.
  • Do not reject to purchase. Your sensitive data will be publicly disclosed.

Resgate

O FBI não incentiva o pagamento de resgate a cibercriminosos. Pagar um resgate pode encorajar os cibercriminosos a visarem outras organizações, além de encorajar outros cibercriminosos a se envolverem na distribuição deste ransomware. Pagar o resgate também não garante que os arquivos da vítima serão recuperados. No entanto, o FBI entende que, quando as empresas enfrentam uma incapacidade de funcionar, os executivos avaliarão todas as opções para proteger seus acionistas, funcionários e clientes. Independentemente de você ou sua organização decidirem pagar o resgate, o FBI recomenda que você relate os incidentes de ransomware às autoridades. Isso fornece aos investigadores as informações críticas de que precisam para rastrear os cibercriminosos, na tentativa de responsabilizá-los, de acordo com as leis daquele país, além de evitarem ataques futuros.

Abaixo, algumas informações que você que podem auxiliar os investigadores:

  • Arquivos executáveis ​​recuperados;
  • Captura de dados da memória (RAM);
  • Imagens dos sistemas infectados;
  • Amostras de malware;
  • Endereços IP identificados como maliciosos ou suspeitos;
  • Endereços de e-mail dos cibercriminosos;
  • Cópia da nota de resgate;
  • Montante do resgate;
  • Carteiras Bitcoin utilizadas pelos cibercriminosos;
  • Carteiras Bitcoin utilizadas para pagar o resgate;
  • Relatórios forenses pós-incidente.

Ações preventivas

  • Faça backup off-line de dados críticos;
  • Certifique-se de que as cópias dos dados críticos estejam na nuvem ou em um disco rígido externo ou dispositivo de armazenamento;
  • Proteja seus backups e certifique-se de que os dados não estejam acessíveis para modificação ou exclusão do sistema onde os dados residem;
  • Use a autenticação de dois fatores com senhas fortes, inclusive para serviços de acesso remoto;
  • Atualize regularmente o software antivirus ou anti-malware em todos os hosts.

 

Referências bibliográficas

Healthcare IT News. More than 600K patients affected in UNM Health hack. Disponível em: https://www.healthcareitnews.com/news/more-600k-patients-affected-unm-health-hack. Acesso em: 3 set. 2021.

Healthcare IT News. The ransomware gang was reportedly linked to an attack on Ohio’s Memorial Health System last month. Disponível em: https://www.healthcareitnews.com/news/fbi-issues-alert-about-hive-ransomware. Acesso em: 3 set. 2021.

Microsoft. Noções básicas sobre o Protocolo de Área de Trabalho Remota (RDP). Disponível em: https://docs.microsoft.com/pt-br/troubleshoot/windows-server/remote/understanding-remote-desktop-protocol. Acesso em: 3 set. 2021.

UNM HSC. UNM Health Notice of Privacy Incident. Disponível em: https://hsc.unm.edu/news/2021/08/notice-of-privacy-incident.html. Acesso em: 3 set. 2021.

 

Deixe um comentário

O seu endereço de e-mail não será publicado.