Mentre Microsoft ha corretto i server Exchange per le vulnerabilità note nel 2021 e la maggior parte delle organizzazioni ha aggiornato, alcune no. Hive ora prende di mira queste istanze del server vulnerabili tramite le vulnerabilità di ProxyShell per ottenere i privilegi di sistema. Lo script PowerShell avvia quindi Cobalt Strike e crea un nuovo account amministratore di sistema denominato “utente”.
Mimikatz viene quindi utilizzato per rubare l’hash NTLM dell’amministratore di dominio e assumere il controllo di tale account. Una volta compromesso con successo, Hive effettua alcune scoperte distribuendo scanner di rete per archiviare l’indirizzo IP, cercando file contenenti “password” nel nome del file e tentando di connettersi ai server di backup tramite RDP per accedere alle risorse sensibili.
Infine, un payload malware personalizzato viene distribuito ed eseguito tramite il file “windows.exe”, che ruba e crittografa i file, rimuove le copie shadow, cancella i registri degli eventi e disabilita i meccanismi di sicurezza. Successivamente, viene visualizzata una nota sul ransomware, in cui si richiede all’organizzazione di contattare il “team di vendita” di Hive che si trova all’indirizzo. onion disponibile attraverso la rete Tor. L’organizzazione compromessa riceve anche le seguenti istruzioni:
- Non modificare, rinominare o eliminare *.key. File. I tuoi dati non saranno crittografati.
- Non modificare o rinominare i file crittografati. Li perderai.
- Non riferire alla polizia, all’FBI, ecc. A loro non importa dei tuoi affari. Semplicemente non ti lasciano pagare. Di conseguenza, perderai tutto.
- Non assumere una società di recupero. Non possono decifrare senza la chiave. Inoltre non si preoccupano dei tuoi affari. Pensano di essere buoni negoziatori, ma non lo sono. Di solito falliscono. Quindi parla per te.
- Non rifiutare (sic) l’acquisto. I file esfiltrati saranno resi pubblici.
L’ultimo punto è sicuramente interessante perché se Hive non paga, le loro informazioni verranno pubblicate sul sito web di Tor “HiveLeaks”. Lo stesso sito web mostra un conto alla rovescia per far pagare la vittima.
Il team di sicurezza ha notato che in un caso, gli aggressori sono stati in grado di crittografare l’ambiente entro 72 ore dalla violazione iniziale. Pertanto, le organizzazioni sono incoraggiate a patchare immediatamente i propri server Exchange, modificare periodicamente password complesse, bloccare SMBv1, limitare l’accesso il più possibile e formare i dipendenti sulla sicurezza informatica.
Fonte: Varonis Forensic Group tramite ZDNet.
Lascia un commento