雖然在 2021 年微軟就已針對(duì) Hive 勒索軟件發(fā)布 Exchange 服務(wù)器的安全補(bǔ)丁，并敦促企業(yè)及時(shí)進(jìn)行部署，但是依然有一些組織并沒(méi)有及時(shí)跟進(jìn)。消息稱這些尚未跟進(jìn)的組織近日再次遭受了 Hive 勒索軟件的攻擊，被黑客獲得了系統(tǒng)權(quán)限。

在攻擊獲得系統(tǒng)權(quán)限之后，該勒索軟件就會(huì)通過(guò) PowerShell 腳本啟動(dòng) Cobalt Strike，并創(chuàng)建了一個(gè)名為“user”的新系統(tǒng)管理員賬戶。

然后，攻擊者使用 Mimikatz(一款功能強(qiáng)大的輕量級(jí)調(diào)試神器)來(lái)竊取域管理員的 NTLM 哈希值，并獲得對(duì)該賬戶的控制。在成功入侵后，Hive 進(jìn)行了一些發(fā)現(xiàn)，它部署了網(wǎng)絡(luò)掃描儀來(lái)存儲(chǔ) IP 地址，掃描文件名中含有"密碼"的文件，并嘗試RDP進(jìn)入備份服務(wù)器以訪問(wèn)敏感資產(chǎn)。

最后通過(guò)“Windows.exe”文件執(zhí)行一個(gè)自定義的惡意軟件有效載荷，用于竊取并加密文件，刪除影子副本，清除事件日志，并禁用安全機(jī)制。隨后，會(huì)顯示一個(gè)勒索軟件的說(shuō)明，要求該組織與Hive的"銷售部門"取得聯(lián)系，該部門設(shè)在一個(gè)可通過(guò) Tor 網(wǎng)絡(luò)訪問(wèn)的.onion 地址。

被攻擊的組織還被提供了以下指示：

• 不要修改、重命名或刪除*.key.文件。你的數(shù)據(jù)將無(wú)法解密。
• 不要修改或重命名加密的文件。你會(huì)失去它們。
• 不要向警察、聯(lián)邦調(diào)查局等機(jī)構(gòu)報(bào)告。他們并不關(guān)心你的業(yè)務(wù)。他們只是不允許你付款。結(jié)果是你將失去一切。
• 不要雇用恢復(fù)公司。沒(méi)有密鑰，他們無(wú)法解密。他們也不關(guān)心你的業(yè)務(wù)。他們認(rèn)為自己是好的談判者，但事實(shí)并非如此。他們通常會(huì)失敗。所以要為自己說(shuō)話。
• 不要拒絕(sic)購(gòu)買。滲出的文件將被公開(kāi)披露。

如果不向Hive付款，他們的信息將被公布在 HiveLeaks Tor 網(wǎng)站上。同一網(wǎng)站上還會(huì)顯示一個(gè)倒計(jì)時(shí)，以迫使受害者付款。

該安全團(tuán)隊(duì)指出，在一個(gè)例子中，它看到攻擊者在最初入侵的72小時(shí)內(nèi)設(shè)法加密環(huán)境。因此，它建議企業(yè)立即給Exchange服務(wù)器打補(bǔ)丁，定期輪換復(fù)雜的密碼，阻止 SMBv1，盡可能限制訪問(wèn)，并在網(wǎng)絡(luò)安全領(lǐng)域培訓(xùn)員工。