雖然在 2021 年微軟就已針對 Hive 勒索軟件發(fā)布 Exchange 服務器的安全補丁，并敦促企業(yè)及時進行部署，但是依然有一些組織并沒有及時跟進。消息稱這些尚未跟進的組織近日再次遭受了 Hive 勒索軟件的攻擊，被黑客獲得了系統(tǒng)權限。

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供綏化網(wǎng)站建設、綏化做網(wǎng)站、綏化網(wǎng)站設計、綏化網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、綏化企業(yè)網(wǎng)站模板建站服務，十載綏化做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

在攻擊獲得系統(tǒng)權限之后，該勒索軟件就會通過 PowerShell 腳本啟動 Cobalt Strike，并創(chuàng)建了一個名為“user”的新系統(tǒng)管理員賬戶。

然后，攻擊者使用 Mimikatz(一款功能強大的輕量級調試神器)來竊取域管理員的 NTLM 哈希值，并獲得對該賬戶的控制。在成功入侵后，Hive 進行了一些發(fā)現(xiàn)，它部署了網(wǎng)絡掃描儀來存儲 IP 地址，掃描文件名中含有"密碼"的文件，并嘗試RDP進入備份服務器以訪問敏感資產(chǎn)。

最后通過“Windows.exe”文件執(zhí)行一個自定義的惡意軟件有效載荷，用于竊取并加密文件，刪除影子副本，清除事件日志，并禁用安全機制。隨后，會顯示一個勒索軟件的說明，要求該組織與Hive的"銷售部門"取得聯(lián)系，該部門設在一個可通過 Tor 網(wǎng)絡訪問的.onion 地址。

被攻擊的組織還被提供了以下指示：

• 不要修改、重命名或刪除*.key.文件。你的數(shù)據(jù)將無法解密。
• 不要修改或重命名加密的文件。你會失去它們。
• 不要向警察、聯(lián)邦調查局等機構報告。他們并不關心你的業(yè)務。他們只是不允許你付款。結果是你將失去一切。
• 不要雇用恢復公司。沒有密鑰，他們無法解密。他們也不關心你的業(yè)務。他們認為自己是好的談判者，但事實并非如此。他們通常會失敗。所以要為自己說話。
• 不要拒絕(sic)購買。滲出的文件將被公開披露。

如果不向Hive付款，他們的信息將被公布在 HiveLeaks Tor 網(wǎng)站上。同一網(wǎng)站上還會顯示一個倒計時，以迫使受害者付款。

該安全團隊指出，在一個例子中，它看到攻擊者在最初入侵的72小時內(nèi)設法加密環(huán)境。因此，它建議企業(yè)立即給Exchange服務器打補丁，定期輪換復雜的密碼，阻止 SMBv1，盡可能限制訪問，并在網(wǎng)絡安全領域培訓員工。

網(wǎng)站題目：未打補丁的Exchange服務器遭Hive勒索攻擊逾期就公開數(shù)據(jù)
鏈接URL：http://uogjgqi.cn/article/ccspspg.html