Hinweis: Der folgende Artikel hilft Ihnen weiter: Microsoft Exchange-Server werden mit Ransomware infiziert
Eine als „Hive“ bekannte Bedrohungsgruppe hat Microsoft Exchange-Server mit dem Ziel infiltriert, ahnungslose Opfer mit Ransomware zu infizieren.
Einigen Berichten zufolge nutzt die Gruppe diese Taktik seit letztem Sommer – doch die jüngsten Angriffe haben Sicherheitsforschern Einblick in ihre Taktiken verschafft.
Die Präsenz von Hive – und die Tatsache, dass es ein Ransomware-as-a-Service-Modell betreibt, bei dem Hive-Ransomware von anderen für andere Angriffe verwendet werden kann – bedeutet, dass es noch nie so wichtig war, in Hive zu investieren Antiviren Software und andere Tools, um Ihre Sicherheit zu gewährleisten.
Wie funktioniert Hive-Ransomware?
„Während einer kürzlichen Zusammenarbeit mit einem Kunden untersuchte das Varonis Forensics-Team einen Ransomware-Vorfall“, so The Varonis Forensics-Teamschreibt Nadav Ovadia in einem Beitrag.
Bei dem vom Team untersuchten Angriff begann Hive seinen Angriff mit der Ausnutzung von ProxyShell, einer Sammlung von Microsoft Exchange Server-Schwachstellen (und noch dazu kritischen), die Angreifern die Möglichkeit bieten, Code aus der Ferne auszuführen. Berichten zufolge hat Microsoft dieses Problem im Jahr 2021 behoben.
Nach der Ausnutzung bereitet eine Webshell (ein bösartiges Skript, das eine Hintertür erstellt) die Bühne für die Ausführung von Powershell-Code, der es den Bedrohungsakteuren ermöglicht, Berechtigungen auf Systemebene zu erlangen. Die Hintertür bleibt erhalten, damit die Gruppe weiter angreifen kann, und Cobalt-Streik-Stadier werden heruntergeladen.
Anschließend werden Administratorbenutzerkonten erstellt und der NTLM-Hash des Domänenadministrators aus dem System gelöscht. Damit kann Hive das Domänenadministratorkonto steuern.
Nachdem dieser Vorgang abgeschlossen ist, kann die Ransomware-Payload an den Computer des ahnungslosen Opfers übermittelt werden. Dateien werden verschlüsselt und für die Entschlüsselung wird ein Betrag verlangt, der über die im Lösegeldschein genannte „Verkaufsabteilung“ zu zahlen ist (die nur über eine .onion-Adresse erreichbar ist).
Wer ist Hive?
Wie das US-Gesundheitsministerium in a feststellte dokumentieren Laut dem erst vor wenigen Tagen veröffentlichten Bericht handelt es sich bei der Organisation um eine „außergewöhnlich aggressive, finanziell motivierte Ransomware-Gruppe“, die „in der Vergangenheit häufig Gesundheitsorganisationen ins Visier genommen hat“.
Es ist jedoch bekannt, dass die Gruppe auch Finanzunternehmen, Unternehmen im Energiesektor und sogar gemeinnützige Organisationen ins Visier nimmt. Im dritten Quartal 2021 – nur wenige Monate nach der Aufnahme ihrer Geschäftstätigkeit – seien sie bereits die viertaktivsten Ransomware-Betreiber gewesen, teilte das HHS außerdem mit.
Zu den Aktivitäten, an denen die Gruppe beteiligt ist, gehört die doppelte Erpressung (Datendiebstahl vor der Verschlüsselung), die darin gipfelt, dass sie gestohlene Daten auf ihrer Datenleck-Website veröffentlicht. Sie nutzen häufig „gängige (aber wirksame) Infektionsvektoren“, darunter RDP- und VPN-Kompromittierungen.
Laut HHS durchsucht die Gruppe außerdem die Systeme der Opfer und löscht Daten, die sie zu sichern versuchten, sowie Dinge wie Schattenkopien. Das Papier der Regierungsbehörde beschreibt auch, wie bekannt ist, dass Hive-Mitglieder Opfer anrufen, um sie zur Zahlung zu drängen.
Sollte ich die Sicherheit meines Unternehmens verbessern?
Ja, vor allem, wenn Sie ein kleines Unternehmen sind – etwa 82 % der Ransomware-Angriffe Dabei werden kleine Unternehmen ins Visier genommen. Es ist von entscheidender Bedeutung, dass Sie die Maßnahmen zum Schutz Ihres Unternehmens eher früher als später ergreifen, da Datenschutzverletzungen finanziell fatale Folgen haben können.
Eine Software, die helfen kann, ist Antivirensoftware. Die meisten modernen Antivirensoftwareprogramme verfügen über Funktionen, die Sie vor der Bedrohung durch Ransomware schützen, wie z. B. Dateisicherungen in Echtzeit, wenn verdächtige Dateien auf dem System erkannt werden.
Wenn Sie bereits Antivirensoftware installiert haben, ist es nie eine schlechte Idee, Ihr Paket zu überprüfen und zu prüfen, ob Aktualisierungen heruntergeladen werden müssen.
