Hive Ransomware: Ablauf eines Angriffs 

Hive Ransomware: Ablauf eines Angriffs 
Anzeige

Beitrag teilen

Der Ablauf eines Ransomware-Angriff mit Hive wurde während eines Einsatzes bei einem Kunden durch das Forensik-Team von Varonis untersucht. Der Angriff und das Vorgehen der Cyberkriminellen wurde so dokumentiert.

Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen für Angriffe auf Gesundheitseinrichtungen, gemeinnützige Organisationen, Einzelhändler, Energieversorger und andere Branchen weltweit genutzt. Zumeist werden dabei gängige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Geräte der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit bösartigen Anhängen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen. Während eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.

Anzeige

Phase 1: ProxyShell und WebShell

Zunächst nutzten die Angreifer die bekannten ProxyShell-Schwachstellen von Exchange-Servern aus, um dann ein bösartiges Backdoor-Skript (Webshell) in einem öffentlich zugänglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann bösartigen PowerShell-Code über den angegriffenen Server mit SYSTEM-Rechten ausführen.

Phase 2: Cobalt Strike

Der bösartige PowerShell-Code lud zusätzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgeführt.

Anzeige

Phase 3: Mimikatz und Pass-The-Hash

Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens „user“ und gingen zur Phase des Credential Dump über, in der sie Mimikatz einsetzten. Mittels dessen Modul „logonPasswords“ konnten die Passwörter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer über den NTLM-Hash des Administrators verfügten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.

Phase 4: Suche nach sensitiven Informationen

Als nächstes führten die Angreifer umfangreiche Erkundungsaktivitäten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die „password“ im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Gerätenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.

Stufe 5: Einsatz von Ransomware

Schließlich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe verteilt und auf verschiedenen Geräten ausgeführt. Hierbei wurden mehrere Operationen durchgeführt, wie das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das Löschen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschlüsselungsprozess gewährlistet. Während der Verschlüsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.

Extreme Zunahme der Ransomware-Angriffe

Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs können verheerend sein: Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb nachhaltig stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bußgeldern im Rahmen der DSGVO führen.

Obwohl die Erkennung und Reaktion auf solche Vorfälle eine Herausforderung sein können, lassen sich die meisten böswilligen Aktivitäten verhindern, wenn die richtigen Sicherheitstools und Pläne zur Reaktion auf Vorfälle zur Verfügung stehen sowie Patches für bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Maßnahmen:

  • Patchen Sie den Exchange-Server auf die neuesten kumulativen Exchange-Updates (CU) und Sicherheitsupdates (SU), die von Microsoft bereitgestellt werden.
  • Erzwingen Sie die Verwendung komplexer Passwörter und verlangen Sie von den Benutzern, dass sie ihre Passwörter regelmäßig ändern.
  • Verwenden Sie die Microsoft LAPS-Lösung, um den Domänenkonten die lokalen Admin-Berechtigungen zu entziehen (Least-Privilege-Ansatz). Überprüfen Sie regelmäßig, ob inaktive Benutzerkonten vorhanden sind und entfernen Sie diese.
  • Blockieren Sie die Verwendung von SMBv1 und verwenden Sie SMB-Signierung zum Schutz vor Pass-the-Hash-Angriffen.
  • Beschränken Sie die Zugriffsrechte der Mitarbeitenden auf Dateien, die sie für ihre Arbeit tatsächlich benötigen.
  • Erkennen und verhindern Sie automatisch Änderungen der Zugriffskontrolle, die gegen Ihre Richtlinien verstoßen.
  • Schulen Sie Ihre Mitarbeiter in den Grundsätzen der Cybersicherheit. Regelmäßiges Awareness-Training muss fundamentaler Bestandteil der Unternehmenskultur sein.
  • Legen Sie grundlegende Sicherheitspraktiken und Verhaltensregeln fest, die den Umgang mit und den Schutz von Unternehmens- und Kundeninformationen sowie anderen wichtigen Daten beschreiben.
Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Varonis: Cloud-Sicherheit für Amazon S3

Varonis stärkt die Cloud-Sicherheit mit Datenklassifizierung für Amazon S3. Neue Funktionen bieten eine granulare, skalierbare Datenklassifizierung für S3-Buckets und helfen Unternehmen, ➡ Weiterlesen

DSGVO-Konformität schützt auch vor Ransomware-Schäden

Was waren das für Zeiten damals 2018, als das Inkrafttreten der DSGVO für die scheinbar größtmögliche Aufregung in der Wirtschaft ➡ Weiterlesen

Gefälschten Vanity-URLs bei Zoom und Google

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und ➡ Weiterlesen

Die gefährlichen Neun: Malware im Kurzporträt

Die Vorstellung jeder Malware die auf Unternehmen zielt würde jeden Rahmen sprengen. Hier stellen die Varonis Threat Labs 9 wichtige ➡ Weiterlesen

Was Führungskräfte über Ransomware-Angriffe wissen sollten

Wie die meisten Branchen haben sich auch die Cyberkriminellen in den letzten zwei Jahren den veränderten Umständen angepasst und sich ➡ Weiterlesen

Die drei größten Ransomware-Trends in 2021

2021 dürfte als Jahr der Ransomware in die Cybersecurity-Geschichte eingehen. Die weltweite Liste der prominenten Opfer reicht von Pipeline-Betreibern über ➡ Weiterlesen

Varonis: Verbesserter Microsoft 365-Schutz für effektivere Ransomware-Erkennung 

Varonis bringt neue Funktionen zur Reduzierung der Datenexposition bei Microsoft 365. Neue Version verringert den Explosionsradius von Microsoft 365, ermöglicht effektivere ➡ Weiterlesen

Neue Ransomware-Gruppe ALPHV – BlackCat

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV - BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive ➡ Weiterlesen