22. April 2022 – Nach den jüngsten Ransomware-Angriffen auf Microsofts Exchange Server hat ein Team des US-Cybersicherheitsexperten Varonis im Detail untersucht, wie Ransomware-Angriffe auf einen anfälligen Exchange Server funktionieren.
Im letzten Jahr hat Microsoft seinen Exchange Server gegen verschiedene schwerwiegende Sicherheitslücken gefixt. Aber nicht alle Unternehmen haben die Updates installiert. Diese Schwachstellen werden nun für neue Angriffe über Ransomware-as-a-Service Hive genutzt. Angesichts der Entwicklung hat sich laut einem Bericht von Zdnet.com bereits ein Team des amerikanischen Cybersecurity-Spezialisten Varonis mit der Hive-Ransomware auseinandergesetzt. Die Analyse zeigt, wie Hacker Schwachstellen im System nutzen, um die Kontrolle über den Server zu übernehmen.
Im ersten Schritt ist es möglich, über Proxy-Shell-Schwachstellen Systemrechte zu erlangen. Das Skript von Powershell startete dann Cobalt Strike und erstellte ein neues Systemadministratorkonto namens „User“. Angreifer verwenden dann das Programm Mimikatz, um das neu erstellte Benutzerkonto zu kontrollieren. Sie können dann mit einem Netzwerkscanner die Umgebung scannen, IP-Adressen speichern, Dateien scannen und versuchen, auf Backup-Server zuzugreifen. Sobald dies geschehen ist, sorgt die Datei windows.exe dafür, dass die Dateien gestohlen und verschlüsselt werden, die Schattenkopien und Protokolle der Ergebnisse gelöscht und die Sicherheitsmechanismen entfernt werden. Mit einem Hinweis auf Ransomware fordert Hive Sie schließlich auf, sich mit ihnen in Verbindung zu setzen.
Zum Schutz vor Angriffen empfiehlt das Varonis-Team unter anderem, Exchange Server mit den neusten Updates von Microsoft zu reparieren. Darüber hinaus müssen Benutzer komplexe Passwörter verwenden und diese regelmäßig ändern. Die LAPS-Lösung von Microsoft sowie das Blockieren der Verwendung von SMBv1 können ebenfalls hilfreich sein. (vm)
Add Comment