Während das regelmäßige Aktualisieren von Software und das Herunterladen von Dateien nur aus vertrauenswürdigen Quellen eine gängige Cybersicherheitspraxis ist, ist angesichts der jüngsten Zunahme von Malware-Angriffen klar, dass mehr Wissen in diesem Bereich erforderlich ist. Zu diesem Zweck hat das forensische Team von Varonis einige Anleitungen dazu bereitgestellt , wie Angreifer, die die Hive-Ransomware verwenden, Microsoft angreifen. Exchange Server in der neuesten Angriffsserie. Für diejenigen, die es nicht wissen, Hive folgt dem Ransomware-as-a-Service-Modell.
Während Microsoft im Jahr 2021 Exchange-Server gegen bekannte Schwachstellen patchte und die meisten Unternehmen ein Upgrade durchführten, taten einige dies nicht. Hive zielt nun auf diese gefährdeten Serverinstanzen über ProxyShell-Schwachstellen ab, um Systemberechtigungen zu erlangen. Das PowerShell-Skript startet dann Cobalt Strike und erstellt ein neues Systemadministratorkonto mit dem Namen „Benutzer“.
Mimikatz wird dann verwendet, um den NTLM-Hash des Domänenadministrators zu stehlen und die Kontrolle über dieses Konto zu übernehmen. Nach erfolgreicher Kompromittierung führt Hive einige Entdeckungen durch, indem es Netzwerkscanner zum Speichern der IP-Adresse einsetzt, nach Dateien sucht, die „Passwort“ im Dateinamen enthalten, und versucht, sich über RDP mit Backup-Servern zu verbinden, um auf sensible Assets zuzugreifen.
Schließlich wird eine benutzerdefinierte Schadsoftware bereitgestellt und über die Datei „windows.exe“ ausgeführt, die Dateien stiehlt und verschlüsselt, Schattenkopien entfernt, Ereignisprotokolle löscht und Sicherheitsmechanismen deaktiviert. Anschließend wird eine Notiz über die Ransomware angezeigt, die die Organisation anweist, das „Verkaufsteam“ von Hive unter zu kontaktieren. onion ist über das Tor-Netzwerk verfügbar. Die kompromittierte Organisation erhält außerdem die folgenden Anweisungen:
- *.key darf nicht geändert, umbenannt oder gelöscht werden. Dateien. Ihre Daten werden unverschlüsselt übertragen.
- Ändern oder benennen Sie verschlüsselte Dateien nicht um. Sie werden sie verlieren.
- Melden Sie sich nicht bei der Polizei, dem FBI usw. Sie kümmern sich nicht um Ihr Geschäft. Sie lassen dich einfach nicht bezahlen. Infolgedessen werden Sie alles verlieren.
- Beauftragen Sie kein Bergungsunternehmen. Sie können ohne den Schlüssel nicht entschlüsseln. Sie kümmern sich auch nicht um Ihr Geschäft. Sie halten sich für gute Unterhändler, sind es aber nicht. Normalerweise scheitern sie. Also sprechen Sie für sich.
- Lehnen Sie (sic) den Kauf nicht ab. Die exfiltrierten Dateien werden öffentlich gemacht.
Der letzte Punkt ist sicherlich interessant, denn wenn Hive nicht zahlt, werden ihre Informationen auf der Tor-Website „HiveLeaks“ veröffentlicht. Dieselbe Website zeigt einen Countdown, um das Opfer bezahlen zu lassen.
Das Sicherheitsteam stellte fest, dass die Angreifer in einem Fall die Umgebung innerhalb von 72 Stunden nach dem ersten Angriff verschlüsseln konnten. Daher werden Unternehmen ermutigt, ihre Exchange-Server sofort zu patchen, komplexe Kennwörter regelmäßig zu ändern, SMBv1 zu blockieren, den Zugriff so weit wie möglich einzuschränken und Mitarbeiter in Cybersicherheit zu schulen.
Quelle: Varonis Forensic Group über ZDNet.
Schreibe einen Kommentar