虽然微软已经在2021年发布了Exchange服务器针对Hive勒索病毒的安全补丁,并督促企业及时部署,但仍有部分机构没有部署。跟进。据悉,这些尚未跟进的机构近日再次遭到Hive勒索软件攻击,黑客获得了系统权限。一旦攻击获得系统权限,勒索软件就会通过PowerShell脚本启动CobaltStrike,并创建一个名为“user”的新系统管理员帐户。攻击者随后使用功能强大的轻量级调试神器Mimikatz窃取了域管理员的NTLM哈希并获得了帐户的控制权。在成功入侵后,Hive有了一些发现,部署网络扫描器来存储IP地址,扫描文件名中带有“密码”的文件,并尝试通过RDP进入备份服务器以访问敏感资产。最后,自定义恶意软件负载通过“Windows.exe”文件执行,以窃取和加密文件、删除卷影副本、清除事件日志并禁用安全机制。随后,会显示勒索软件提示,要求该组织与Hive的“销售部门”取得联系,该部门托管在可通过Tor网络访问的.onion地址。被攻击的组织也得到了以下指示:不要修改、重命名或删除*.key。文件。您的数据将无法解密。不要修改或重命名加密文件。你会失去他们。不要向警察、联邦调查局等报告。他们不关心你的事。他们只是不允许您付款。结果是你将失去一切。不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心您的业务。他们认为自己是优秀的谈判者,但事实并非如此。他们通常会失败。所以你自己说吧。不要拒绝(原文如此)购买。泄露的文件将被公开披露。如果不向Hive付款,他们的信息将发布在HiveLeaksTor网站上。同一网站上还显示倒计时计时器,以迫使受害者付款。安全团队指出,在一个实例中,它看到攻击者设法在初始破坏后的72小时内加密环境。因此,它建议企业立即修补Exchange服务器,定期轮换复杂密码,阻止SMBv1,尽可能限制访问,并在网络安全领域对员工进行培训。
