首页 > 运维技术 > 正文

未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据
2022-04-25 13:24:22   来源:    点击:

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。

在攻击获得系统权限之后,该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike,并创建了一个名为“user”的新系统管理员账户。

然后,攻击者使用 Mimikatz(一款功能强大的轻量级调试神器)来窃取域管理员的 NTLM 哈希值,并获得对该账户的控制。在成功入侵后,Hive 进行了一些发现,它部署了网络扫描仪来存储 IP 地址,扫描文件名中含有"密码"的文件,并尝试RDP进入备份服务器以访问敏感资产。

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷,用于窃取并加密文件,删除影子副本,清除事件日志,并禁用安全机制。随后,会显示一个勒索软件的说明,要求该组织与Hive的"销售部门"取得联系,该部门设在一个可通过 Tor 网络访问的.onion 地址。

被攻击的组织还被提供了以下指示:

● 不要修改、重命名或删除*.key.文件。你的数据将无法解密。

● 不要修改或重命名加密的文件。你会失去它们。

● 不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

● 不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者,但事实并非如此。他们通常会失败。所以要为自己说话。

● 不要拒绝(sic)购买。渗出的文件将被公开披露。

如果不向Hive付款,他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时,以迫使受害者付款。

913yjlov.webp

该安全团队指出,在一个例子中,它看到攻击者在最初入侵的72小时内设法加密环境。因此,它建议企业立即给Exchange服务器打补丁,定期轮换复杂的密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。


微信扫一扫添加微信好友

 
郑州市景安网络科技股份有限公司
联系人:王志成 手机:18937119537(微信同号)
QQ:客服QQ537008063  客服QQ725017803
地址:郑州市经开区经北三路河南通信产业园
官网:www.zzidcc.com 

相关热词搜索:

上一篇:卡巴斯基发布“阎罗王”勒索软件的免费解密工具
下一篇:如何对服务器硬件做压力测试-stress工具使用指南和结果分析

分享到: 收藏