Hive Ransomware: Ablauf eines Angriffs 

3. Juli 2022
| Keine Kommentare
Hive Ransomware: Ablauf eines Angriffs 

Beitrag teilen

Der Ablauf eines Ransomware-Angriff mit Hive wurde während eines Einsatzes bei einem Kunden durch das Forensik-Team von Varonis untersucht. Der Angriff und das Vorgehen der Cyberkriminellen wurde so dokumentiert.

Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen für Angriffe auf Gesundheitseinrichtungen, gemeinnützige Organisationen, Einzelhändler, Energieversorger und andere Branchen weltweit genutzt. Zumeist werden dabei gängige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Geräte der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit bösartigen Anhängen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen. Während eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.

Phase 1: ProxyShell und WebShell

Zunächst nutzten die Angreifer die bekannten ProxyShell-Schwachstellen von Exchange-Servern aus, um dann ein bösartiges Backdoor-Skript (Webshell) in einem öffentlich zugänglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann bösartigen PowerShell-Code über den angegriffenen Server mit SYSTEM-Rechten ausführen.

Phase 2: Cobalt Strike

Der bösartige PowerShell-Code lud zusätzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgeführt.

Phase 3: Mimikatz und Pass-The-Hash

Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens „user“ und gingen zur Phase des Credential Dump über, in der sie Mimikatz einsetzten. Mittels dessen Modul „logonPasswords“ konnten die Passwörter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer über den NTLM-Hash des Administrators verfügten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.

Phase 4: Suche nach sensitiven Informationen

Als nächstes führten die Angreifer umfangreiche Erkundungsaktivitäten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die „password“ im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Gerätenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.

Stufe 5: Einsatz von Ransomware

Schließlich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe verteilt und auf verschiedenen Geräten ausgeführt. Hierbei wurden mehrere Operationen durchgeführt, wie das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das Löschen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschlüsselungsprozess gewährlistet. Während der Verschlüsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.

Extreme Zunahme der Ransomware-Angriffe

Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs können verheerend sein: Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb nachhaltig stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bußgeldern im Rahmen der DSGVO führen.

Obwohl die Erkennung und Reaktion auf solche Vorfälle eine Herausforderung sein können, lassen sich die meisten böswilligen Aktivitäten verhindern, wenn die richtigen Sicherheitstools und Pläne zur Reaktion auf Vorfälle zur Verfügung stehen sowie Patches für bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Maßnahmen:

  • Patchen Sie den Exchange-Server auf die neuesten kumulativen Exchange-Updates (CU) und Sicherheitsupdates (SU), die von Microsoft bereitgestellt werden.
  • Erzwingen Sie die Verwendung komplexer Passwörter und verlangen Sie von den Benutzern, dass sie ihre Passwörter regelmäßig ändern.
  • Verwenden Sie die Microsoft LAPS-Lösung, um den Domänenkonten die lokalen Admin-Berechtigungen zu entziehen (Least-Privilege-Ansatz). Überprüfen Sie regelmäßig, ob inaktive Benutzerkonten vorhanden sind und entfernen Sie diese.
  • Blockieren Sie die Verwendung von SMBv1 und verwenden Sie SMB-Signierung zum Schutz vor Pass-the-Hash-Angriffen.
  • Beschränken Sie die Zugriffsrechte der Mitarbeitenden auf Dateien, die sie für ihre Arbeit tatsächlich benötigen.
  • Erkennen und verhindern Sie automatisch Änderungen der Zugriffskontrolle, die gegen Ihre Richtlinien verstoßen.
  • Schulen Sie Ihre Mitarbeiter in den Grundsätzen der Cybersicherheit. Regelmäßiges Awareness-Training muss fundamentaler Bestandteil der Unternehmenskultur sein.
  • Legen Sie grundlegende Sicherheitspraktiken und Verhaltensregeln fest, die den Umgang mit und den Schutz von Unternehmens- und Kundeninformationen sowie anderen wichtigen Daten beschreiben.
Mehr bei Varonis.com

 

Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,

 

Passende Artikel zum Thema

IT-Sicherheit: NIS-2 macht sie zur Chefsache

Nur bei einem Viertel der deutschen Unternehmen übernimmt die Geschäftsführung die Verantwortung für die IT-Sicherheit. Vor allem in kleineren Unternehmen ➡ Weiterlesen

Anstieg der Cyberangriffe um 104 Prozent in 2023

Ein Unternehmen für Cybersicherheit hat die Bedrohungslandschaft des letzten Jahres unter die Lupe genommen. Die Ergebnisse bieten entscheidende Einblicke in ➡ Weiterlesen

Mobile Spyware ist eine Gefahr für Unternehmen

Sowohl im Alltag als auch in Unternehmen nutzen immer mehr Menschen mobile Geräte. Dadurch nimmt auch die Gefahr von "Mobil ➡ Weiterlesen

Crowdsourced Security lokalisiert viele Schwachstellen

Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. ➡ Weiterlesen

Digitale Sicherheit: Verbraucher vertrauen Banken am meisten

Eine Umfrage zum digitalen Vertrauen zeigte, dass Banken, das Gesundheitswesen und Behörden das meiste Vertrauen der Verbraucher genießen. Die Medien- ➡ Weiterlesen

Stellenbörse Darknet: Hacker suchen abtrünnige Insider

Das Darknet ist nicht nur eine Umschlagbörse für illegale Waren, sondern auch ein Ort, an dem Hacker neue Komplizen suchen ➡ Weiterlesen

Solarenergieanlagen – wie sicher sind sie?

Eine Studie hat die IT-Sicherheit von Solarenergieanlagen untersucht. Probleme bereiten fehlende Verschlüsselung bei der Datenübertragung, Standardpasswörter und unsichere Firmware-Updates. Trend ➡ Weiterlesen

Neue Phishing-Welle: Angreifer nutzen Adobe InDesign

Aktuell zeigt sich ein Anstieg von Phishing-Attacken, die Adobe InDesign missbrauchen, ein bekanntes und vertrauenswürdiges System zur Veröffentlichung von Dokumenten. ➡ Weiterlesen

Storys
, , , ,