Hive Ransomware-Gruppe greift anfällige Microsoft Exchange-Server an

Sicherheitsexperten haben eine neue Serie von Ransomware-Angriffen aufgedeckt, die von der Ransomware-Gruppe Hive durchgeführt werden und auf Microsoft Exchange-Server abzielen. Hive ist ein beliebtes Ransomware-as-a-Service-Modell (RaaS), das erstmals im Juni 2021 entdeckt wurde.

Die Ransomware-Gruppe Hive zielt mit verschiedenen Methoden und Mechanismen auf Unternehmensnetzwerke ab, darunter Phishing-E-Mails mit Anhängen. Sie hatte es bereits auf gemeinnützige Organisationen, Gesundheitsdienstleister, Finanzunternehmen und den Energiesektor abgesehen.

Laut dem Bericht des Varonis Forensics Teams nutzen die Hive-Angreifer jetzt die ProxyShell-Schwachstellen in Microsoft Exchange Server aus. Der Redmonder Riese hat im Mai 2021 Sicherheits-Patches veröffentlicht, um die ProxyShell-Schwachstellen zu beheben, aber einige Unternehmen haben immer noch anfällige Server im Einsatz. Die Sicherheitsschwachstellen ermöglichen es den Hackern, sich aus der Ferne Systemrechte auf den betroffenen Servern zu verschaffen.

Sobald die Sicherheitslücke ausgenutzt wurde, erstellt die Ransomware-Gruppe Hive ein neues Systemadministratorkonto und verwendet dann Mimikatz, um den NTLM-Hash zu stehlen. Darüber hinaus können die Bedrohungsakteure die Pass-the-Hash-Technik verwenden, um die vollständige Kontrolle über das Konto zu übernehmen. Die Angreifer können nun die Backup-Server scannen, um auf sensible Daten und Informationen zuzugreifen.

Als Nächstes wird eine benutzerdefinierte Malware-Nutzlast über eine "windows.exe"-Datei bereitgestellt, um bestimmte Aufgaben wie die Verschlüsselung von Benutzerdateien, das Löschen von Ereignisprotokollen, das Löschen von Schattenkopien und die Deaktivierung von Sicherheitslösungen auszuführen. Schließlich wird den Benutzern eine Ransomware-Notiz angezeigt, in der sie aufgefordert werden, sich über eine über das Tor-Netzwerk zugängliche Website an ihren Vertriebsmitarbeiter zu wenden.

Die Hive-Gruppe droht dem Unternehmen, die sensiblen Daten auf der Tor-Webseite "HiveLeaks" zu veröffentlichen, wenn es sich weigert, die Ransomware zu bezahlen. Außerdem wird auf der Webseite ein Countdown-Timer angezeigt, um die Opfer einzuschüchtern. Das Varonis Forensics Team fügte hinzu, dass es weniger als 72 Stunden dauerte, um die Netzwerke eines Kunden anzugreifen.

Sicherheitsexperten empfehlen Unternehmen, Exchange-Server zu patchen

Ransomware-Angriffe haben in den letzten Jahren stark zugenommen und sind nach wie vor die bevorzugte Methode von Bedrohungsakteuren, die auf Gewinnmaximierung aus sind. Die Auswirkungen eines Angriffs können verheerend sein. Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten führen.

Das Varonis-Sicherheitsteam rät IT-Administratoren, sicherzustellen, dass die neuesten Patches auf Exchange-Servern installiert sind, um Ransomware-Angriffe zu verhindern. Darüber hinaus wird empfohlen, SMBv1 zu blockieren, Passwort-Rotationsrichtlinien durchzusetzen und die Kontoprivilegien der Mitarbeiter entsprechend ihrer Rolle einzuschränken.