Chociaż regularne aktualizowanie oprogramowania i pobieranie tylko plików z zaufanych źródeł to standardowa praktyka cyberbezpieczeństwa, biorąc pod uwagę niedawny wzrost ataków złośliwego oprogramowania, jasne jest, że potrzebna jest większa wiedza w tej dziedzinie. W tym celu zespół kryminalistyki Varonis dostarczył wskazówek , w jaki sposób napastnicy korzystający z ransomware Hive atakują firmę Microsoft. Serwery Exchange w najnowszej serii ataków. Dla tych, którzy nie wiedzą, Hive stosuje model ransomware jako usługa.
Chociaż w 2021 r. firma Microsoft załatała serwery Exchange przed znanymi lukami w zabezpieczeniach, a większość organizacji dokonała aktualizacji, niektóre nie. Hive atakuje teraz te podatne na ataki instancje serwerów za pośrednictwem luk ProxyShell, aby uzyskać uprawnienia systemowe. Skrypt PowerShell następnie uruchamia Cobalt Strike i tworzy nowe konto administratora systemu o nazwie „użytkownik”.
Mimikatz jest następnie wykorzystywany do kradzieży skrótu NTLM administratora domeny i przejęcia kontroli nad tym kontem. Po udanym naruszeniu Hive dokonuje pewnych odkryć, wdrażając skanery sieciowe do przechowywania adresu IP, skanując pliki zawierające „hasło” w nazwie pliku i próbując połączyć się z serwerami kopii zapasowych za pośrednictwem protokołu RDP, aby uzyskać dostęp do wrażliwych zasobów.
Wreszcie, niestandardowy ładunek złośliwego oprogramowania jest wdrażany i uruchamiany za pośrednictwem pliku „windows.exe”, który kradnie i szyfruje pliki, usuwa kopie w tle, czyści dzienniki zdarzeń i wyłącza mechanizmy bezpieczeństwa. Następnie wyświetlana jest uwaga na temat oprogramowania ransomware, instruująca organizację, aby skontaktowała się z „zespołem sprzedaży” Hive znajdującym się pod adresem. cebula dostępna przez sieć Tor. Zaatakowana organizacja otrzymuje również następujące instrukcje:
- Nie zmieniaj, nie zmieniaj nazwy ani nie usuwaj *.key. akta. Twoje dane będą niezaszyfrowane.
- Nie modyfikuj ani nie zmieniaj nazw zaszyfrowanych plików. Stracisz je.
- Nie zgłaszaj się na policję, FBI itp. Nie dbają o Twój biznes. Po prostu nie pozwolą ci zapłacić. W rezultacie stracisz wszystko.
- Nie zatrudniaj firmy zajmującej się odzyskiem. Nie mogą odszyfrować bez klucza. Nie dbają też o Twój biznes. Myślą, że są dobrymi negocjatorami, ale tak nie jest. Zwykle zawodzą. Więc mów za siebie.
- Nie odmawiaj (sic!) zakupu. Wydobyte pliki zostaną upublicznione.
Ostatni punkt jest z pewnością interesujący, ponieważ jeśli Hive nie zapłaci, ich informacje zostaną opublikowane na stronie Tora „HiveLeaks”. Ta sama strona internetowa pokazuje odliczanie, aby ofiara zapłaciła.
Zespół ds. bezpieczeństwa zauważył, że w jednym przypadku osoby atakujące były w stanie zaszyfrować środowisko w ciągu 72 godzin od pierwszego włamania. W związku z tym organizacje są zachęcane do natychmiastowego instalowania poprawek na swoich serwerach Exchange, okresowej zmiany złożonych haseł, blokowania SMBv1, ograniczania dostępu w jak największym stopniu i szkolenia pracowników w zakresie cyberbezpieczeństwa.
Źródło: Varonis Forensic Group za pośrednictwem ZDNet.
Dodaj komentarz