Bir bağlı kuruluş tarafından yakın zamanda gerçekleştirilen bir Hive fidye yazılımı saldırısı, Microsoft Exchange Server’da geçen yıl adı açıklanmayan bir müşterinin ağını şifrelemek için açıklanan “ProxyShell” güvenlik açıklarından yararlanmayı içeriyordu.
Varonis güvenlik araştırmacısı Nadav Ovadia, “Oyuncu, kötü niyetli hedeflerine ulaşmayı ve ortamı ilk uzlaşmadan 72 saatten daha kısa bir sürede şifrelemeyi başardı,” dedi. dedim Olayın otopsi analizinde.
İlk olarak Haziran 2021’de gözlemlenen Hive, son yıllarda diğer siber suçlu grupları tarafından benimsenen kazançlı bir hizmet olarak fidye yazılımı (RaaS) şemasını takip ediyor ve bağlı kuruluşların kurbanlarına bir yer edindikten sonra dosya şifreleyen kötü amaçlı yazılımları dağıtmalarını sağlıyor. ağlar.
CVE-2021-31207, CVE-2021-34523 ve CVE-2021-34473 olarak izlenen ProxyShell, Microsoft Exchange Server’da güvenlik özelliği atlama, ayrıcalık yükseltme ve uzaktan kod yürütmenin bir kombinasyonunu içerir ve saldırgana etkin bir şekilde yetenek verir etkilenen sunucularda rasgele kod yürütmek için.
Sorunlar, Nisan ve Mayıs 2021 için Salı Yaması güncellemelerinin bir parçası olarak Microsoft tarafından ele alındı.
Bu durumda, kusurlardan başarılı bir şekilde yararlanılması, saldırganın, yeni bir arka kapı yöneticisi kullanıcısı oluşturmak, etki alanı yöneticisi hesabını ele geçirmek ve yanal hareket gerçekleştirmek için SİSTEM ayrıcalıklarıyla kötü amaçlı PowerShell kodunu çalıştırmak için kullanarak güvenliği ihlal edilmiş sunucuya web kabukları dağıtmasına izin verdi.
Saldırıda kullanılan ağ mermilerinin bir kaynaktan alındığı söyleniyor. genel git deposu Ovadia, tespitten kaçınmak için rastgele bir karakter karışımı içeren dosya adlarının verildiğini söyledi. Ayrıca, Cobalt Strike çerçevesinin bir parçası olan ek bir karmaşık PowerShell betiği de yürütüldü.
Oradan, tehdit aktörü, şifreleme işlemini tamamlamak ve fidye notunu kurbana göstermek için Golang fidye yazılımı yürütülebilir dosyasını (“Windows.exe” olarak adlandırılır) dağıtmaya başlamadan önce ağı değerli dosyalar için taramaya başladı.
Kötü amaçlı yazılım tarafından gerçekleştirilen diğer işlemler arasında gölge kopyaların silinmesi, güvenlik ürünlerinin kapatılması ve algılamayı önlemek, kurtarmayı önlemek ve şifrelemenin herhangi bir aksaklık olmadan gerçekleşmesini sağlamak için Windows olay günlüklerinin temizlenmesi yer alır.
Sonuç olarak, bulgular, bilinen güvenlik açıkları için yama uygulamasının siber saldırıları ve diğer kötü niyetli faaliyetleri engellemenin anahtarı olduğunun bir başka göstergesi.
Ovadia, “Fidye yazılımı saldırıları son yıllarda önemli ölçüde büyüdü ve karları en üst düzeye çıkarmayı amaçlayan tehdit aktörlerinin tercih edilen yöntemi olmaya devam ediyor.” Dedi. “Potansiyel olarak bir kuruluşun itibarına zarar verebilir, düzenli operasyonları kesintiye uğratabilir ve hassas verilerin geçici ve muhtemelen kalıcı olarak kaybolmasına neden olabilir.”