ソフトウェアを定期的に更新し、信頼できるソースからファイルをダウンロードすることだけが標準的なサイバーセキュリティ慣行ですが、最近のマルウェア攻撃の増加を考えると、この分野でより多くの知識が必要であることは明らかです。そのために、 Varonisフォレンジックチームは、Hiveランサムウェアを使用する攻撃者がMicrosoftを標的にする方法についていくつかのガイダンスを提供しました。最新の一連の攻撃におけるExchangeServer。知らない人のために、Hiveはサービスとしてのランサムウェアモデルに従います。
Microsoftは2021年に既知の脆弱性に対してExchangeサーバーにパッチを適用し、ほとんどの組織はアップグレードしましたが、一部の組織はアップグレードしませんでした。Hiveは現在、システム権限を取得するために、ProxyShellの脆弱性を介してこれらの脆弱なサーバーインスタンスを標的にしています。次に、PowerShellスクリプトはCobalt Strikeを起動し、「user」という名前の新しいシステム管理者アカウントを作成します。
次に、Mimikatzを使用して、ドメイン管理者のNTLMハッシュを盗み、そのアカウントを制御します。侵害に成功すると、Hiveはネットワークスキャナーを展開してIPアドレスを保存し、ファイル名に「パスワード」を含むファイルをスキャンし、RDPを介してバックアップサーバーに接続して機密資産にアクセスしようとすることで、何らかの発見を行います。
最後に、カスタムマルウェアペイロードは、ファイルを盗んで暗号化し、シャドウコピーを削除し、イベントログをクリアし、セキュリティメカニズムを無効にする「windows.exe」ファイルを介して展開および実行されます。続いて、ランサムウェアに関するメモが表示され、にあるHiveの「営業チーム」に連絡するように組織に指示します。タマネギはTorネットワークを通じて入手できます。侵害された組織には、次の指示も与えられます。
- * .keyを変更、名前変更、または削除しないでください。ファイル。データは暗号化されません。
- 暗号化されたファイルを変更したり、名前を変更したりしないでください。あなたはそれらを失うでしょう。
- 警察やFBIなどに報告しないでください。彼らはあなたのビジネスを気にしません。彼らはあなたにお金を払わせないでしょう。その結果、あなたはすべてを失うでしょう。
- 復旧会社を雇わないでください。キーなしでは復号化できません。彼らはまたあなたのビジネスを気にしません。彼らは彼らが良い交渉者であると思いますが、そうではありません。通常、それらは失敗します。だからあなた自身のために話しなさい。
- 購入を拒否(原文のまま)しないでください。盗み出されたファイルは公開されます。
最後のポイントは確かに興味深いものです。Hiveが支払わない場合、その情報はTorのWebサイト「HiveLeaks」に掲載されるからです。同じウェブサイトは犠牲者に支払うためのカウントダウンを示しています。
セキュリティチームは、あるケースでは、攻撃者が最初の侵害から72時間以内に環境を暗号化できたことを指摘しました。そのため、組織はExchangeサーバーにすぐにパッチを適用し、複雑なパスワードを定期的に変更し、SMBv1をブロックし、アクセスを可能な限り制限し、サイバーセキュリティについて従業員をトレーニングすることをお勧めします。
コメントを残す