Microsoft Exchange Server von Hives „windows.exe“-Ransomware betroffen

Während die Aktualisierung der Software und das Herunterladen von Dateien nur von vertrauenswürdigen Quellen zu den Standardpraktiken der Cybersicherheit gehören, ist angesichts der jüngsten Zunahme von Malware-Angriffen klar, dass in dieser Hinsicht mehr Aufklärung erforderlich ist . Zu diesem Zweck hat das Forensik-Team von Varonis einige Hinweise dazu gegeben, wie Angreifer, die Hive-Ransomware verwenden, in ihrer neuesten Angriffsserie auf Microsoft Exchange Server abzielen. Für diejenigen, die es nicht wissen: Hive folgt einem Ransomware-as-a-Service-Modell.

Während Microsoft Exchange Server im Jahr 2021 wegen bekannter Schwachstellen gepatcht hat und die meisten Organisationen aktualisiert haben, haben einige dies nicht getan. Hive zielt nun über eine ProxyShell-Schwachstelle auf diese anfälligen Serverinstanzen ab, um SYSTEM-Berechtigungen zu erlangen. Das PowerShell-Skript startet dann Cobalt Strike und erstellt ein neues Systemadministratorkonto mit dem Namen „user“.

Danach wurde Mimikatz verwendet, um den NTLM-Hash des Domänenadministrators zu stehlen und die Kontrolle über das Konto zu erlangen. Nach einer erfolgreichen Kompromittierung führt Hive eine Erkennung durch, bei der es einen Netzwerkscanner zum Speichern von IP-Adressen einsetzt, Dateien scannt, deren Dateinamen „Passwort“ enthalten, und versucht, eine RDP-Verbindung zum Sicherungsserver herzustellen, um auf vertrauliche Assets zuzugreifen.

Abschließend wird die benutzerdefinierte Malware-Payload über eine „windows.exe“-Datei bereitgestellt und ausgeführt, die Dateien stiehlt und verschlüsselt, Kopien von Schattenvolumes löscht, Ereignisprotokolle löscht und Sicherheitsmechanismen deaktiviert. Anschließend werden Ransomware-Anweisungen angezeigt, in denen die Gruppe aufgefordert wird, sich an die „Verkaufsabteilung“ von Hive zu wenden, die über eine .onion-Adresse gehostet wird, die über das Tor-Netzwerk zugänglich ist. Die folgenden Anweisungen wurden auch infizierten Organisationen zur Verfügung gestellt:

• *.key nicht ändern, umbenennen oder löschen. dokumentieren. Ihre Daten können nicht entschlüsselt werden.
• Ändern oder benennen Sie verschlüsselte Dateien nicht um. Du wirst sie verlieren.
• Melden Sie sich nicht bei der Polizei, dem FBI usw. Ihr Geschäft ist ihnen egal. Sie erlauben Ihnen überhaupt nicht zu bezahlen. Dadurch verlierst du alles.
• Beauftragen Sie keine Restaurierungsfirma. Ohne den Schlüssel können sie nicht entschlüsseln. Ihr Geschäft ist ihnen auch egal. Sie glauben, dass sie gute Verhandlungsführer sind, aber das sind sie nicht. Normalerweise scheitern sie. Sprechen Sie also für sich selbst.
• Sagen Sie nicht Nein zum Kauf. Durchgesickerte Dokumente werden öffentlich bekannt gegeben.

Der letzte Punkt ist sicherlich interessant, denn wenn Hive nicht bezahlt wird, werden ihre Informationen auf der Tor-Website „HiveLeaks“ veröffentlicht. Auf derselben Website wird ein Countdown angezeigt, um die Opfer zur Zahlung zu zwingen.

Das Sicherheitsteam stellte fest, dass es den Angreifern in einem Fall gelang, die Umgebung innerhalb von 72 Stunden nach dem ersten Verstoß zu verschlüsseln. Daher empfiehlt es Unternehmen, Exchange-Server sofort zu patchen, komplexe Passwörter regelmäßig zu rotieren, SMBv1 zu blockieren, den Zugriff nach Möglichkeit einzuschränken und Mitarbeiter im Bereich Cybersicherheit zu schulen.

Das obige ist der detaillierte Inhalt vonMicrosoft Exchange Server von Hives „windows.exe“-Ransomware betroffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!