新事件报告揭示了Hive勒索软件是如何以组织为目标的

最近一家分支机构实施的Hive勒索软件攻击涉及利用去年披露的Microsoft Exchange Server中的“ProxyShell”漏洞对一名未具名客户的网络进行加密。

瓦罗尼斯安全研究员纳达夫·奥瓦迪亚（Nadav Ovadia）在对该事件的事后分析中表示：“该行为人成功地实现了其恶意目标，并在最初的泄露后不到72小时内对环境进行了加密。”。

Hive于2021首次被观测到，它遵循了近年来其他网络犯罪集团采用的利润丰厚的勒索软件即服务（RaaS）计划，使分支机构能够在受害者网络中站稳脚跟后部署文件加密恶意软件。

ProxyShell—；追踪编号为CVE-2021-31207、CVE-2021-34523和CVE-2021-34473和8212；涉及Microsoft Exchange Server中安全功能绕过、权限提升和远程代码执行的组合，有效地授予攻击者在受影响服务器上执行任意代码的能力。

The issues were addressed by Microsoft as part of its Patch Tuesday updates for April and May 2021.

在这种情况下，成功利用这些漏洞可使对手在受损服务器上部署web shell，使用它们以系统权限运行恶意PowerShell代码，以创建新的后门管理员用户，劫持域管理员帐户，并执行横向移动。

Ovadia说，据称攻击中使用的网络外壳来自一个公共git存储库，并提供了包含随机混合字符的文件名，以逃避检测。还执行了另一个模糊的PowerShell脚本，它是Cobalt Strike框架的一部分。

从那里开始，威胁行为人开始扫描网络中有价值的文件，然后继续部署Golang勒索软件可执行文件（名为“Windows.exe”），以完成加密过程并向受害者显示勒索记录。

该恶意软件执行的其他操作包括删除卷影副本、关闭安全产品和清除Windows事件日志，以避免检测、防止恢复，并确保加密不会出现任何问题。

如果有什么区别的话，这些发现是另一个指标，表明修补已知漏洞是挫败网络攻击和其他邪恶活动的关键。

Ovadia说：“勒索软件攻击在过去几年中显著增加，并且仍然是威胁行为人追求利润最大化的首选方法。”。“它可能会潜在地损害组织的声誉，扰乱正常运营，并导致敏感数据的暂时甚至永久性丢失。”