Hive Ransomware: Ablauf eines Angriffs 

Hive Ransomware: Ablauf eines Angriffs 

Beitrag teilen

Der Ablauf eines Ransomware-Angriff mit Hive wurde während eines Einsatzes bei einem Kunden durch das Forensik-Team von Varonis untersucht. Der Angriff und das Vorgehen der Cyberkriminellen wurde so dokumentiert.

Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen für Angriffe auf Gesundheitseinrichtungen, gemeinnützige Organisationen, Einzelhändler, Energieversorger und andere Branchen weltweit genutzt. Zumeist werden dabei gängige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Geräte der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit bösartigen Anhängen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen. Während eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.

Anzeige

Phase 1: ProxyShell und WebShell

Zunächst nutzten die Angreifer die bekannten ProxyShell-Schwachstellen von Exchange-Servern aus, um dann ein bösartiges Backdoor-Skript (Webshell) in einem öffentlich zugänglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann bösartigen PowerShell-Code über den angegriffenen Server mit SYSTEM-Rechten ausführen.

Phase 2: Cobalt Strike

Der bösartige PowerShell-Code lud zusätzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgeführt.

Phase 3: Mimikatz und Pass-The-Hash

Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens „user“ und gingen zur Phase des Credential Dump über, in der sie Mimikatz einsetzten. Mittels dessen Modul „logonPasswords“ konnten die Passwörter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer über den NTLM-Hash des Administrators verfügten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.

Phase 4: Suche nach sensitiven Informationen

Als nächstes führten die Angreifer umfangreiche Erkundungsaktivitäten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die „password“ im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Gerätenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.

Stufe 5: Einsatz von Ransomware

Schließlich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe verteilt und auf verschiedenen Geräten ausgeführt. Hierbei wurden mehrere Operationen durchgeführt, wie das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das Löschen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschlüsselungsprozess gewährlistet. Während der Verschlüsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.

Extreme Zunahme der Ransomware-Angriffe

Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs können verheerend sein: Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb nachhaltig stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bußgeldern im Rahmen der DSGVO führen.

Obwohl die Erkennung und Reaktion auf solche Vorfälle eine Herausforderung sein können, lassen sich die meisten böswilligen Aktivitäten verhindern, wenn die richtigen Sicherheitstools und Pläne zur Reaktion auf Vorfälle zur Verfügung stehen sowie Patches für bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Maßnahmen:

  • Patchen Sie den Exchange-Server auf die neuesten kumulativen Exchange-Updates (CU) und Sicherheitsupdates (SU), die von Microsoft bereitgestellt werden.
  • Erzwingen Sie die Verwendung komplexer Passwörter und verlangen Sie von den Benutzern, dass sie ihre Passwörter regelmäßig ändern.
  • Verwenden Sie die Microsoft LAPS-Lösung, um den Domänenkonten die lokalen Admin-Berechtigungen zu entziehen (Least-Privilege-Ansatz). Überprüfen Sie regelmäßig, ob inaktive Benutzerkonten vorhanden sind und entfernen Sie diese.
  • Blockieren Sie die Verwendung von SMBv1 und verwenden Sie SMB-Signierung zum Schutz vor Pass-the-Hash-Angriffen.
  • Beschränken Sie die Zugriffsrechte der Mitarbeitenden auf Dateien, die sie für ihre Arbeit tatsächlich benötigen.
  • Erkennen und verhindern Sie automatisch Änderungen der Zugriffskontrolle, die gegen Ihre Richtlinien verstoßen.
  • Schulen Sie Ihre Mitarbeiter in den Grundsätzen der Cybersicherheit. Regelmäßiges Awareness-Training muss fundamentaler Bestandteil der Unternehmenskultur sein.
  • Legen Sie grundlegende Sicherheitspraktiken und Verhaltensregeln fest, die den Umgang mit und den Schutz von Unternehmens- und Kundeninformationen sowie anderen wichtigen Daten beschreiben.
Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen