Microsoft Exchange Server touché par le ransomware « windows.exe » de Hive

Bien que maintenir les logiciels à jour et télécharger uniquement des fichiers à partir de sources fiables soient des pratiques standard en matière de cybersécurité, compte tenu de la récente augmentation des attaques de logiciels malveillants, il est clair qu'une éducation plus poussée est nécessaire dans ce domaine. À cette fin, l'équipe médico-légale de Varonis a fourni des conseils sur la manière dont les attaquants utilisant le ransomware Hive ciblent Microsoft Exchange Server dans leur dernière série d'attaques. Pour ceux qui ne le savent pas, Hive suit un modèle de ransomware-as-a-service.

Bien que Microsoft ait corrigé Exchange Server pour les vulnérabilités connues en 2021 et que la plupart des organisations l'aient mis à jour, certaines ne l'ont pas fait. Hive cible désormais ces instances de serveur vulnérables via une vulnérabilité ProxyShell pour obtenir les privilèges SYSTEM. Le script PowerShell démarre ensuite Cobalt Strike et crée un nouveau compte administrateur système nommé « utilisateur ».

Après cela, Mimikatz a été utilisé pour voler le hachage NTLM de l'administrateur du domaine et prendre le contrôle du compte. Après une compromission réussie, Hive effectue une découverte au cours de laquelle il déploie un scanner de réseau pour stocker les adresses IP, analyse les fichiers qui contiennent un « mot de passe » dans leur nom de fichier et tente d'accéder au serveur de sauvegarde via RDP pour accéder aux actifs sensibles.

Enfin, la charge utile du malware personnalisé est déployée et exécutée via un fichier « windows.exe », qui vole et crypte les fichiers, supprime les clichés instantanés de volume, efface les journaux d'événements et désactive les mécanismes de sécurité. Des instructions du ransomware s'affichent alors demandant au groupe de contacter le « service commercial » de Hive hébergé sur une adresse .onion accessible via le réseau Tor. Les instructions suivantes ont également été fournies aux organisations infectées :

• Ne modifiez pas, ne renommez pas et ne supprimez pas *.key. document. Vos données ne pourront pas être décryptées.
• Ne modifiez ni ne renommez pas les fichiers cryptés. Vous les perdrez.
• Ne vous présentez pas à la police, au FBI, etc. Ils ne se soucient pas de votre entreprise. Ils ne vous permettent pas du tout de payer. En conséquence, vous perdrez tout.
• N’engagez pas une entreprise de récupération. Ils ne peuvent pas décrypter sans la clé. Ils ne se soucient pas non plus de votre entreprise. Ils croient qu’ils sont de bons négociateurs, mais ce n’est pas le cas. Ils échouent généralement. Alors parlez pour vous.
• Ne refusez pas (sic) l’achat. Les documents divulgués seront rendus publics.

Le dernier point est certainement intéressant car si Hive n'est pas rémunéré, leurs informations seront publiées sur le site Tor "HiveLeaks". Un compte à rebours est affiché sur le même site Internet pour obliger les victimes à payer.

L'équipe de sécurité a noté que dans un cas, les attaquants ont réussi à chiffrer l'environnement dans les 72 heures suivant la violation initiale. Par conséquent, il recommande aux organisations de corriger immédiatement les serveurs Exchange, de faire régulièrement tourner les mots de passe complexes, de bloquer SMBv1, de restreindre l'accès lorsque cela est possible et de former les employés dans le domaine de la cybersécurité.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!