Hive Ransomware Group greift anfällige Microsoft Exchange-Server an

Sicherheitsforscher haben eine neue Serie von Ransomware-Angriffen aufgedeckt, die von der Hive-Ransomware-Gruppe durchgeführt wurden, um Microsoft Exchange Server anzugreifen. Hive ist ein beliebtes Ransomware-as-a-Service (RaaS)-Modell, das erstmals im Juni 2021 entdeckt wurde.

Die Hive-Ransomware-Gruppe zielt mit verschiedenen Methoden und Mechanismen auf Unternehmensnetzwerke ab, darunter Phishing-E-Mails mit Anhängen. Zuvor hatte es sich an gemeinnützige Organisationen, Gesundheitsdienstleister, Finanzunternehmen und den Energiesektor gewandt. Wie die Cyberkriminellen vorgegangen sind, erfahren Sie in diesem Blogbeitrag.

Der ProxyShell-Fehler als Einfallstor

Laut einem Bericht von Sicherheitsexperten nutzen Hive-Angreifer derzeit die ProxyShell-Schwachstelle in Microsoft Exchange Server aus. Der Redmond-Riese veröffentlichte zwar bereits im Mai 2021 Sicherheitspatches, um die ProxyShell-Fehler zu beheben, aber einige Organisationen betreiben immer noch anfällige Server. Die Sicherheitslücken ermöglichen es den Hackern, aus der Ferne Systemrechte auf betroffenen Servern zu erlangen.

Nach der Ausnutzung erstellt die Hive-Ransomware-Gruppe ein neues Systemadministratorkonto und verwendet dann Mimikatz, um den NTLM-Hash zu stehlen. Darüber hinaus können Bedrohungsakteure die Pass-the-Hash-Technik verwenden, um die volle Kontrolle über das Konto zu erlangen. Die Angreifer können nun die Backup-Server scannen, um an sensible Daten und Informationen zu gelangen.

Als nächstes wird ein benutzerdefinierter Malware-Payload über eine „windows.exe“-Datei bereitgestellt, um bestimmte Aufgaben wie das Verschlüsseln von Benutzerdateien, das Löschen von Ereignisprotokollen, das Löschen von Schattenkopien sowie das Deaktivieren von Sicherheitslösungen auszuführen. Schließlich sehen die Benutzer einen Ransomware-Hinweis, der ihnen rät, einen Vertriebsmitarbeiter über eine Website zu kontaktieren, die über das Tor-Netzwerk erreicht werden kann.

Die Hive-Gruppe droht der betroffenen Organisation, die sensiblen Daten auf der Tor-Website „HiveLeaks“ preiszugeben, wenn sie sich weigert, die Ransomware-Zahlung zu leisten. Darüber hinaus zeigt die Website einen Countdown-Timer, um die Opfer einzuschüchtern. Nach Einschätzung der Sicherheitsexperten würde es im Regelfall weniger als 72 Stunden dauern, um das Netzwerk eines Unternehmens zu kompromittieren.

Sicherheitsforscher empfehlen Exchange-Server-Patch

Ransomware-Angriffe haben in den letzten Jahren deutlich zugenommen und etablieren sich als die bevorzugte Methode von Bedrohungsakteuren. Mit dieser Angriffsmethode können Cyberkriminelle ihre Gewinne relativ komfortabel erhöhen. Für betroffene Organisationen und Unternehmen können die Schäden gravierend sein. Es kann möglicherweise den Ruf eines Unternehmens schädigen, den regulären Betrieb stören und zu einem vorübergehenden oder möglicherweise dauerhaften Verlust sensibler Daten führen.

Sicherheitsunternehmen legen IT-Administratoren nahe, die neusten Patches möglichst zeitnah zu installieren und damit Sicherheitslücken zu beseitigen. Hiermit können Ransomware-Angriffe effektiv verhindert werden. Darüber hinaus wird Unternehmen empfohlen, SMBv1 zu blockieren, Richtlinien für die Kennwortrotation durchzusetzen und die Berechtigungen von Mitarbeiterkonten basierend auf ihren Rollen einzuschränken.

Sowohl Microsoft Exchange Server 2019 Standard als auch Microsoft Exchange Server 2019 Enterprise finden Sie im Online-Shop von Softwarekaufen24. Wir bieten Ihnen die hochmoderne Groupware- und E-Mail-Transport-Server-Software zu einem herausragenden Preis-Leistungs-Verhältnis an.