Hive ransomware gebruikt om Exchange Server aan te vallen
Bron: VPNgids.nl
Hackers die gelieerd zijn aan Hive proberen Microsoft Exchange Servers binnen te dringen door een zogeheten backdoor in te bouwen. Eenmaal binnen verkennen ze het computernetwerk van hun slachtoffer en stelen ze inloggegevens van systeembeheerders. Verder halen ze vertrouwelijke gegevens binnen en installeren ze malware.
Dat blijkt uit een analyse van Varonis. Het cybersecuritybedrijf is benaderd door een partij die het slachtoffer is geworden van een ransomware-aanval.
Kritieke kwetsbaarheden
Volgens het beveiligingsbedrijf richten de hackers zich op bedrijven met Microsoft Exchange Server die beveiligingsproblemen hebben met ProxyShell. ProxyShell is de benaming voor drie kwetsbaarheden in Microsoft Exchange Server waarmee kwaadwillenden zonder authenticatie van afstand willekeurige code kunnen uitvoeren. Dit noemen we ook wel Remote Code Execution of RCE. Hackersgroepen als Conti, BlackByte, Babuk en LockFile hebben daar in het verleden misbruik van gemaakt.
De kwetsbaarheden zijn geclassificeerd als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31297. Op een schaal van 1 tot 10, waarbij 10 een kritieke kwetsbaarheid is, scoren de exploits tussen de 7.2 (hoog) tot 9.8 (kritiek).
Zo gingen de daders te werk
De hackers installeerden vier web shells in een Exchange directory. Daarna voerden ze een PowerShell code uit waarmee ze Cobalt Strike binnenhaalden. Met behulp van malware genaamd Mimikatz stalen de daders het wachtwoord van een systeembeheerder. De hackers misbruikten zijn inloggegevens om het netwerk te verkennen.
Volgens Varonis gebruikten de aanvallers netwerkscanners om waardevolle data te achterhalen. Hiermee wilden ze het slachtoffer afpersen en een hoger losgeldbedrag af te dwingen. Nadat de gegevens waren binnengehaald, werd een ransomware payload genaamd ‘windows.exe’ uitgevoerd op meerdere computers. Deze schakelde onder meer Windows Defender uit, verwijderde alle logbestanden en zorgde ervoor dat de systeembeheerder niets kon doen om dit tegen te houden.
China beschuldigd van cyberaanvallen via Microsoft Exchange Server
In maart 2021 kwamen de kwetsbaarheden van Microsoft Exchange Server aan het licht. Wereldwijd waren tienduizenden organisaties het slachtoffer geworden van de kwetsbaarheden, waaronder tientallen Nederlandse bedrijven. In mei rolde Microsoft een patch uit die de beveiligingsproblemen oploste.
Volgens een internationale coalitie -bestaande uit de EU, VS, VN, NAVO, Canada, Australië, Nieuw-Zeeland, Japan en het Verenigd Koninkrijk- zat China achter deze aanvallen. China ontkende hier ook maar iets mee te maken te hebben.
Hive is actief in Nederland
Bij de recente aanval die Varonis heeft bestudeerd, is malware van Hive gebruikt. Deze hackersgroep verhuurt zijn gijzelsoftware aan hackers, die het gebruiken om bedrijven en organisaties aan te vallen. De ontwikkelaars lopen geen risico gepakt te worden en krijgen een deel van de opbrengst. Dit verdienmodel noemen we ook wel Ransomware-as-a-Service.
Hive is een internationale hackersgroep die in verband wordt gebracht met talloze cyberaanvallen op ziekenhuizen en andere zorginstellingen. Jan Hanstede, analist bij Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorgsector, waarschuwde eind vorig jaar om alert te zijn voor de hackersgroep en de beveiliging van computersystemen en -netwerken op orde te brengen.
Hive is tevens verantwoordelijk voor de cyberaanval op MediaMarkt in november 2021. Klanten konden in filialen in Nederland, België, Luxemburg en Duitsland terecht om producten te kopen. Bestellingen ophalen of retourneren was tijdelijk onmogelijk, omdat de internetkabels uit de kassa’s waren gehaald. De daders vroegen 50 miljoen dollar aan losgeld. Een woordvoerder van de retailer ontkende dat er klantgegevens waren buitgemaakt.