Im vergangenen Jahr hat
Microsoft seine Exchange Server gegen diverse gravierende Sicherheitslücken gepatcht. Doch nicht alle Unternehmen haben die Updates eingespielt. Diese Schwachstellen werden nun über den Ransomware-as-a-Service Hive für neuerliche Angriffe genutzt. Angesichts der Entwicklung hat sich jetzt ein Team des amerikanischen Cybersecurity-Spezialisten Varonis mit der Ransomware Hive auseinandergesetzt, so ein
Bericht von "Zdnet.com". Die
Analyse zeigt, wie die Hacker Schwachstellen im System nutzen, um den Server unter ihre Kontrolle zu bringen.
So gelingt es in einem ersten Schrittt über Proxyshell-Schwachstellen, Systemrechte zu erlangen. Anschliessend startet ein Powershell-Skript einen Cobalt Strike und erstellt ein neues Systemadministratorkonto namens "User". Danach nutzen die Angreifer das Programm Mimikatz, um das neu erstellte User-Konto zu kontrollieren. So können sie dann Mithilfe eines Netzwerkscanners die Umgebung erkunden, IP-Adressen speichern, Dateien scannen und versuchen, auf Backup-Server zuzugreifen. Ist dies erfolgt, sorgt eine windows.exe-Datei dafür, dass Dateien gestohlen und verschlüsselt, Schattenkopien und Ergebnisprotokolle gelöscht und Sicherheitsmechanismen ausser Kraft gesetzt werden. Mit einer Ransomware-Notiz verlangt Hive zu guter Letzt, dass man den Kontakt zu ihnen aufnimmt.
Um sich gegen die Angriffe zu schützen, empfiehlt das Team von Varonis unter anderem, den Exchange Server mit den neuesten Updates von Microsoft zu patchen. Zudem sollten Nutzerinnen und Nutzer zwingend komplexe Passwörter verwenden und diese regelmässig ändern. Auch die Microsoft LAPS-Lösung sowie die Blockierung der SMBv1-Nutzung können helfen.
(vm)