Wie die Ransomware Hive Exchange Server angreift
Quelle: Pixabay/TheDigitalArtist

Wie die Ransomware Hive Exchange Server angreift

Nach neuerlichen Ransomware-Angriffen auf Microsofts Exchange Server hat ein Team des amerikanischen Cybersecurity-Spezialisten Varonis untersucht, wie die Ransomware-Angriffe auf anfällige Exchange Server im Detail ablaufen.
22. April 2022

     

Im vergangenen Jahr hat Microsoft seine Exchange Server gegen diverse gravierende Sicherheitslücken gepatcht. Doch nicht alle Unternehmen haben die Updates eingespielt. Diese Schwachstellen werden nun über den Ransomware-as-a-Service Hive für neuerliche Angriffe genutzt. Angesichts der Entwicklung hat sich jetzt ein Team des amerikanischen Cybersecurity-Spezialisten Varonis mit der Ransomware Hive auseinandergesetzt, so ein Bericht von "Zdnet.com". Die Analyse zeigt, wie die Hacker Schwachstellen im System nutzen, um den Server unter ihre Kontrolle zu bringen.

So gelingt es in einem ersten Schrittt über Proxyshell-Schwachstellen, Systemrechte zu erlangen. Anschliessend startet ein Powershell-Skript einen Cobalt Strike und erstellt ein neues Systemadministratorkonto namens "User". Danach nutzen die Angreifer das Programm Mimikatz, um das neu erstellte User-Konto zu kontrollieren. So können sie dann Mithilfe eines Netzwerkscanners die Umgebung erkunden, IP-Adressen speichern, Dateien scannen und versuchen, auf Backup-Server zuzugreifen. Ist dies erfolgt, sorgt eine windows.exe-Datei dafür, dass Dateien gestohlen und verschlüsselt, Schattenkopien und Ergebnisprotokolle gelöscht und Sicherheitsmechanismen ausser Kraft gesetzt werden. Mit einer Ransomware-Notiz verlangt Hive zu guter Letzt, dass man den Kontakt zu ihnen aufnimmt.


Um sich gegen die Angriffe zu schützen, empfiehlt das Team von Varonis unter anderem, den Exchange Server mit den neuesten Updates von Microsoft zu patchen. Zudem sollten Nutzerinnen und Nutzer zwingend komplexe Passwörter verwenden und diese regelmässig ändern. Auch die Microsoft LAPS-Lösung sowie die Blockierung der SMBv1-Nutzung können helfen. (vm)


Weitere Artikel zum Thema

Microsoft Exchange-Server unter Proxyshell-Angriff

24. August 2021 - Drei so genannte Proxyshell-Schwachstellen werden von verschiedenen Angreifern aktiv ausgenutzt, um Microsoft Exchange-Server auf der ganzen Welt zu kompromittieren.

Exchange Server werden über Proxyshell-Schwachstelle angegriffen

17. August 2021 - Administratoren eines Exchange Servers sollten diesen schnellstmöglich patchen, denn die Proxyshell-Schwachstelle wird derzeit aktiv für Angriffe ausgenutzt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER