Pelayan Microsoft Exchange diserang oleh perisian tebusan 'windows.exe' Hive

Sambil memastikan perisian dikemas kini dan hanya memuat turun fail daripada sumber yang dipercayai adalah amalan keselamatan siber standard, memandangkan peningkatan serangan perisian hasad baru-baru ini, jelas bahawa lebih banyak lagi diperlukan dalam hal ini mendidik. Untuk itu, pasukan forensik Varonis telah menyediakan beberapa panduan tentang cara penyerang menggunakan perisian tebusan Hive menyasarkan Pelayan Microsoft Exchange dalam siri serangan terbaru mereka. Bagi mereka yang tidak tahu, Hive mengikuti model ransomware-as-a-service.

Walaupun Microsoft telah menambal Exchange Server untuk kelemahan yang diketahui pada tahun 2021 dan kebanyakan organisasi telah mengemas kini, ada yang tidak. Hive kini menyasarkan contoh pelayan yang terdedah ini melalui kelemahan ProxyShell untuk mendapatkan keistimewaan SYSTEM. Skrip PowerShell kemudian memulakan Cobalt Strike dan mencipta akaun sysadmin baharu bernama "pengguna".

Selepas ini, Mimikatz digunakan untuk mencuri cincang NTLM pentadbir domain dan mendapatkan kawalan ke atas akaun. Selepas kompromi yang berjaya, Hive melakukan beberapa penemuan di mana ia menggunakan pengimbas rangkaian untuk menyimpan alamat IP, mengimbas fail yang mengandungi "kata laluan" dalam nama fail mereka dan cuba untuk RDP ke dalam pelayan sandaran untuk mengakses aset sensitif.

Akhirnya, muatan perisian hasad tersuai digunakan dan dilaksanakan melalui fail "windows.exe", yang mencuri dan menyulitkan fail, memadamkan salinan volum bayangan, mengosongkan log peristiwa dan melumpuhkan mekanisme keselamatan. Arahan perisian tebusan kemudiannya dipaparkan meminta kumpulan itu menghubungi "jabatan jualan" Hive yang dihoskan pada alamat .onion yang boleh diakses melalui rangkaian Tor. Arahan berikut juga telah diberikan kepada organisasi yang dijangkiti:

• Jangan ubah suai, namakan semula atau padam *.key. dokumen. Data anda tidak akan dapat dinyahsulitkan.
• Jangan ubah suai atau namakan semula fail yang disulitkan. Anda akan kehilangan mereka.
• Jangan laporkan kepada polis, FBI, dsb. Mereka tidak mengambil berat tentang perniagaan anda. Mereka tidak membenarkan anda membayar sama sekali. Akibatnya anda akan kehilangan segala-galanya.
• Jangan mengupah syarikat pemulihan. Mereka tidak boleh menyahsulit tanpa kunci. Mereka juga tidak mengambil berat tentang perniagaan anda. Mereka percaya mereka adalah perunding yang baik, tetapi mereka tidak. Mereka biasanya gagal. Jadi cakap sendiri.
• Jangan katakan tidak (sic) pada pembelian. Dokumen yang bocor akan didedahkan secara terbuka.

Perkara terakhir sememangnya menarik kerana jika Hive tidak dibayar, maklumat mereka akan diterbitkan di laman web Tor "HiveLeaks". Kira detik dipaparkan pada tapak web yang sama untuk memaksa mangsa membayar.

Pasukan keselamatan menyatakan bahawa dalam satu keadaan, penyerang berjaya menyulitkan persekitaran dalam masa 72 jam dari pelanggaran awal. Oleh itu, ia mengesyorkan agar organisasi segera menampal pelayan Exchange, kerap memutar kata laluan kompleks, menyekat SMBv1, menyekat akses jika boleh, dan melatih pekerja dalam bidang keselamatan siber.

Atas ialah kandungan terperinci Pelayan Microsoft Exchange diserang oleh perisian tebusan 'windows.exe' Hive. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!