未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

admin 2022年4月24日13:10:29评论26 views字数 1088阅读3分37秒阅读模式

更多全球网络安全资讯尽在邑安全

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。

在攻击获得系统权限之后,该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike,并创建了一个名为“user”的新系统管理员账户。

然后,攻击者使用 Mimikatz(一款功能强大的轻量级调试神器)来窃取域管理员的 NTLM 哈希值,并获得对该账户的控制。在成功入侵后,Hive 进行了一些发现,它部署了网络扫描仪来存储 IP 地址,扫描文件名中含有"密码"的文件,并尝试RDP进入备份服务器以访问敏感资产。

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷,用于窃取并加密文件,删除影子副本,清除事件日志,并禁用安全机制。随后,会显示一个勒索软件的说明,要求该组织与Hive的"销售部门"取得联系,该部门设在一个可通过 Tor 网络访问的.onion 地址。

被攻击的组织还被提供了以下指示:

● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。

● 不要修改或重命名加密的文件。你会失去它们。

● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

● 不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者,但事实并非如此。他们通常会失败。所以要为自己说话。

● 不要拒绝(sic)购买。渗出的文件将被公开披露。

如果不向Hive付款,他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时,以迫使受害者付款。

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

该安全团队指出,在一个例子中,它看到攻击者在最初入侵的72小时内设法加密环境。因此,它建议企业立即给Exchange服务器打补丁,定期轮换复杂的密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。

原文来自: cnbeta.com

原文链接: https://www.cnbeta.com/articles/tech/1261193.htm

欢迎收藏并分享朋友圈,让五邑人网络更安全

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月24日13:10:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据http://cn-sec.com/archives/938628.html

发表评论

匿名网友 填写信息