Un reciente ataque de ransomware Hive llevado a cabo por un afiliado involucr\u00f3 la explotaci\u00f3n de vulnerabilidades “ProxyShell” en Microsoft Exchange Server que se revelaron el a\u00f1o pasado para cifrar la red de un cliente no identificado.<\/p>\n
“El actor logr\u00f3 sus objetivos maliciosos y encriptar el entorno en menos de 72 horas desde el compromiso inicial”, dijo Nadav Ovadia, investigador de seguridad de Varonis. dicho<\/a> en un an\u00e1lisis post-mortem del incidente. <\/p>\n Hive, que se observ\u00f3 por primera vez en junio de 2021, sigue el lucrativo esquema de ransomware-as-a-service (RaaS) adoptado por otros grupos de ciberdelincuentes en los \u00faltimos a\u00f1os, lo que permite a los afiliados implementar el malware de cifrado de archivos despu\u00e9s de afianzarse en los sitios de sus v\u00edctimas. redes<\/p>\n ProxyShell, rastreado como CVE-2021-31207, CVE-2021-34523 y CVE-2021-34473, implica una combinaci\u00f3n de omisi\u00f3n de funciones de seguridad, escalada de privilegios y ejecuci\u00f3n remota de c\u00f3digo en Microsoft Exchange Server, lo que otorga al atacante la capacidad de para ejecutar c\u00f3digo arbitrario en los servidores afectados.<\/p>\n Microsoft abord\u00f3 los problemas como parte de sus actualizaciones de Patch Tuesday para abril y mayo de 2021.<\/p>\n En este caso, la explotaci\u00f3n exitosa de las fallas permiti\u00f3 al adversario implementar shells web en el servidor comprometido, us\u00e1ndolos para ejecutar c\u00f3digo PowerShell malicioso con privilegios de SISTEMA para crear un nuevo usuario administrador de puerta trasera, secuestrar la cuenta de administrador del dominio y realizar un movimiento lateral.<\/p>\n Se dice que los shells web utilizados en el ataque proced\u00edan de un repositorio p\u00fablico de git<\/a> y dados nombres de archivo que contienen una mezcla aleatoria de caracteres para evadir la detecci\u00f3n, dijo Ovadia. Tambi\u00e9n se ejecut\u00f3 un script PowerShell ofuscado adicional que forma parte del marco Cobalt Strike.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n![\"colmena](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650536146_658_Nuevo-informe-de-incidentes-revela-como-el-ransomware-Hive-se.jpg\" "\\"colmena")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n