Bien que la mise à jour régulière des logiciels et le téléchargement de fichiers uniquement à partir de sources fiables soient des pratiques de cybersécurité standard, compte tenu de la récente augmentation des attaques de logiciels malveillants, il est clair que davantage de connaissances sont nécessaires dans ce domaine. À cette fin, l’ équipe médico-légale de Varonis a fourni des conseils sur la manière dont les attaquants utilisant le rançongiciel Hive ciblent Microsoft. Exchange Servers dans la dernière série d’attaques. Pour ceux qui ne le savent pas, Hive suit le modèle ransomware-as-a-service.
Alors que Microsoft a corrigé les serveurs Exchange contre les vulnérabilités connues en 2021 et que la plupart des organisations ont été mises à niveau, certaines ne l’ont pas fait. Hive cible désormais ces instances de serveur vulnérables via les vulnérabilités ProxyShell afin d’obtenir des privilèges système. Le script PowerShell lance ensuite Cobalt Strike et crée un nouveau compte d’administrateur système nommé « user ».
Mimikatz est ensuite utilisé pour voler le hachage NTLM de l’administrateur du domaine et prendre le contrôle de ce compte. Une fois compromis avec succès, Hive effectue une découverte en déployant des analyseurs de réseau pour stocker l’adresse IP, en analysant les fichiers contenant le mot de passe dans le nom de fichier et en essayant de se connecter aux serveurs de sauvegarde via RDP pour accéder aux ressources sensibles.
Enfin, une charge utile de malware personnalisée est déployée et exécutée via le fichier « windows.exe », qui vole et chiffre les fichiers, supprime les clichés instantanés, efface les journaux d’événements et désactive les mécanismes de sécurité. Par la suite, une note sur le rançongiciel s’affiche, demandant à l’organisation de contacter « l’équipe commerciale » de Hive située à. oignon disponible via le réseau Tor. L’organisation compromise reçoit également les instructions suivantes :
- Ne modifiez pas, ne renommez pas et ne supprimez pas *.key. des dossiers. Vos données seront non cryptées.
- Ne modifiez pas ou ne renommez pas les fichiers cryptés. Vous les perdrez.
- Ne signalez pas à la police, au FBI, etc. Ils ne se soucient pas de votre entreprise. Ils ne vous laisseront tout simplement pas payer. En conséquence, vous perdrez tout.
- N’engagez pas une entreprise de récupération. Ils ne peuvent pas déchiffrer sans la clé. Ils ne se soucient pas non plus de votre entreprise. Ils pensent qu’ils sont de bons négociateurs, mais ils ne le sont pas. Habituellement, ils échouent. Alors parlez pour vous.
- Ne refusez pas (sic) l’achat. Les fichiers exfiltrés seront rendus publics.
Le dernier point est certainement intéressant car si Hive ne paie pas, leurs informations seront publiées sur le site Tor « HiveLeaks ». Le même site Web affiche un compte à rebours pour faire payer la victime.
L’équipe de sécurité a noté que dans un cas, les attaquants ont pu chiffrer l’environnement dans les 72 heures suivant la violation initiale. Ainsi, les entreprises sont encouragées à appliquer immédiatement des correctifs à leurs serveurs Exchange, à modifier périodiquement les mots de passe complexes, à bloquer SMBv1, à limiter l’accès autant que possible et à former les employés à la cybersécurité.
Source : Varonis Forensic Group via ZDNet.
Laisser un commentaire