Varonis Adli Tıp Ekibi, Hive fidye yazılımı kullanan saldırganların en son saldırı serisinde Microsoft Exchange Sunucularını nasıl hedeflediği konusunda bazı rehberlik sağlamıştır. Hive, farkında olmayanlar için bir hizmet olarak fidye yazılımı modelini takip ediyor.

Microsoft, 2021'de Exchange sunucularını bilinen güvenlik açıklarına karşı yamalamış ve çoğu kuruluş güncelleme yapmış olsa da bazıları güncellemedi. Hive, şimdi SİSTEM ayrıcalıkları kazanmak için bu savunmasız sunucu örneklerini ProxyShell güvenlik açıkları aracılığıyla hedefliyor. Bir PowerShell betiği daha sonra bir Cobalt Strike başlatır ve "user" adında yeni bir sistem yöneticisi hesabı oluşturur.

Bundan sonra, Mimikatz, etki alanı yöneticisinin NTLM karmasını çalmak ve bu hesabın kontrolünü ele geçirmek için kullanılır. Başarılı bir uzlaşmanın ardından Hive, IP adresini depolamak için ağ tarayıcılarını dağıttığı, dosya adında "parola" içeren dosyaları taradığı ve hassas varlıklara erişmek için yedekleme sunucularına RDP'yi denediği bazı keşifler gerçekleştirir.

Son olarak, dosyaları çalan ve şifreleyen, gölge kopyaları silen, olay günlüklerini temizleyen ve güvenlik mekanizmalarını devre dışı bırakan bir "windows.exe" dosyası aracılığıyla özel bir kötü amaçlı yazılım yükü dağıtılır ve yürütülür. Ardından, kuruluşun Tor ağı üzerinden erişilebilen bir .onion adresinde bulunan Hive'ın "satış departmanı" ile iletişim kurmasını isteyen bir fidye yazılımı notu görüntülenir. Güvenliği ihlal edilmiş kuruluşa ayrıca aşağıdaki yönergeler sağlanır:

• *.key'i değiştirmeyin, yeniden adlandırmayın veya silmeyin. Dosyalar. Verilerinizin şifresi çözülemez olacaktır.
• Şifrelenmiş dosyaları değiştirmeyin veya yeniden adlandırmayın. Onları kaybedeceksin.
• Polise, FBI'a vs. ihbar etmeyin. Sizin işiniz umurlarında değil. Sadece ödemenize izin vermiyorlar. Sonuç olarak her şeyi kaybedersiniz.
• Bir kurtarma şirketi kiralamayın. Anahtar olmadan şifreyi çözemezler. Ayrıca işinizle de ilgilenmiyorlar. İyi müzakereciler olduklarına inanıyorlar, ama değil. Genellikle başarısız olurlar. Kendi adına konuş.
• (sic) satın almayı reddetmeyin. Exfiltre edilen dosyalar kamuya açıklanacaktır.

Son madde kesinlikle ilginç çünkü Hive'a bir ödeme yapılmazsa, bilgileri "HiveLeaks" Tor web sitesinde yayınlanacak. Mağdura ödeme yapması için baskı yapmak için aynı web sitesinde bir geri sayım gösteriliyor.

Güvenlik ekibi, bir durumda, saldırganların ilk güvenlik açığından 72 saat sonra ortamları şifrelemeyi başardığını gördü. Bu nedenle, kuruluşlara Exchange sunucularını hemen düzeltmelerini, karmaşık şifreleri periyodik olarak döndürmelerini, SMBv1'i engellemelerini, erişimi mümkün olduğunca kısıtlamalarını ve çalışanları siber güvenlik alanında eğitmelerini tavsiye etti.