venerdì 27 Maggio 2022

La minaccia del ransomware Hive ai server di Microsoft Exchange

Da non perdere

Paolo Montali
Paolo Montalihttps://www.risksolver.it/
Partner, Technical Relationship Manager at RISK SOLVER. Ho vissuto la mia esperienza lavorativa nel campo delle telecomunicazioni all'inizio della diffusione delle reti geografiche e delle prime reti locali, nel corso degli anni 90 ha gestito progetti di interconnessione e standardizzazione delle comunicazioni applicative tra aziende, sistemi pionieristici di quelli che sono poi stati i modelli di marketplace sia in ambito b2b che b2c. Dal 2016 mi occupo a tempo pieno di protezione dei sistemi e dei dati, fornendo consulenza e soluzioni per innalzare il livello di sicurezza delle infrastrutture ICT delle Aziende.

Esiste un ransomware denominato Hive che sta violando i server Exchange utilizzando le vulnerablità denominate ProxyShell

Le 3 vulnerabilità di ProxShell

ProxyShell è un insieme di tre vulnerabilità che sono state rilevate in Microsoft Exchange Server e che consentono l’esecuzione di codice remoto senza autenticazione.

Queste vulnerabilità sono state utilizzate da più attori (ovviamente parliamo di organizzazioni atte al crimine) che creano delle minacce, tra cui diversi ransomware come: Conti, BlackByte, Babuk, Cuba e LockFile oppure il nostro fatidico Hive che è stato esaminato in questo articolo.

Come agisce

Una volta che il ransomware Hive si è insediato nella macchina della vittima, effettua una ricognizione della rete in cui la macchina è collegata e ruba le credenziali degli account di livello amministratore, in modo da esfiltrare i dati più importanti.

Queste vulnerabilità sono state tracciate e catalogate da Microsoft come CVE-2021-34473, CVE-2021-34523 e CVE-2021-31297, e la loro gravità varia secondo l’indice internazionale sulla pericolosità delle vulnerabilità, dal livello 7.2 (alta) a 9.8 (critica).

Questa classificazione dovrebbe mettere in allarme tutti gli amministratori di sistema e i responsabili dei sistemi informativi delle aziende anche per quello che riportiamo di seguito.

Il parere di Microsoft

Da partre di Microsoft, queste vulnerabilità sarebbero state completamente patchate a partire da maggio 2021.

I dettagli tecnici sono stati forniti nell’agosto 2021, ma subito dopo, da parte di organizzazioni malevole è iniziato lo sfruttamento delle vulnerabilità.

Il fatto che il ransomware Hive sia riuscito a sfruttare ProxyShell in un recente attacco dimostrerebbe che in realtà le patch rilasciate da Microsoft non avrebbero risolto completamente le vulnerabilità.

A seguito dello sfruttamento di ProxyShell, alcuni hacker hanno piantato delle web shell in directory Exchange accessibili, e sembra che siano riusciti ad eseguire dei comandi in PowerShell con privilegi elevati per scaricare dati dai Server.

Una volta scaricati questi dati, tramite dei tools ad hoc, è stato abbastanza semplice sottrarre credenziali, password di account di amministratori di dominio ed accedere così a più risorse nella rete.

La gravità di questo ransomware è la facilità con cui si espande nelle reti aziendali effettuando attività di ricerca sui server attaccati rilevando indirizzi IP dei disponibili in rete, enumerando i dispositivi, catalogando le directory, RDP, server di backup, database SQL e tutte le risorse informative della rete.

Il ransomaware

Il ransomware, una volta estratte tutte le informazioni di interesse, lancia un eseguibile chiamato “Windows.exe” che prima di criptare i file dell’organizzazione elimina le copie shadow, disabilita Windows Defender, cancella i log degli eventi di Windows, uccide i processi di file-binding e ferma il Security Accounts Manager per inibire gli avvisi.

Il problema più importante è che Hive, come gli altri Ransomware, come i virus biologici, evolve e da quando è apparso a giugno 2021, ha fatto molta strada e si è diffuso molto, al punto da destare l’interesse anche da parte dell’FBI che ha rilasciato un rapporto dedicato alle sue tattiche e agli indicatori che permettono di capire se l’ambiente informatico è stato contaminato.

Oramai è noto che anche le distribuzioni Linux sono attacabili da Hive e a dicembre 2021 è diventato uno dei ransomware più attivi per frequenza di attacco.

Ci si aspetta delle nuove evoluzioni di questo temuto ransomware e delle varianti, per cui bisogna tenere gli occhi aperti ed avere sempre sistemi aggiornati con le patch di sicurezza e non abbassare mai la guardia.

In collaborazione con Risksolver

- Advertisement -spot_img
- Advertisement -spot_img

Articoli recenti

- Advertisement -spot_img
- Advertisement -spot_img