Durch die Anatomie eines Ransomware-Angriffs durch Hive zeigt das Varonis Forensik-Team, wie Cyberkriminelle vorgehen, und gibt Empfehlungen für den Schutz der Unternehmenssysteme.
Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen für Angriffe auf Gesundheitseinrichtungen, gemeinnützige Organisationen, Einzelhändler, Energieversorger und andere Branchen weltweit genutzt. Zumeist werden dabei gängige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Geräte der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit bösartigen Anhängen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen. Während eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.
Phase 1: ProxyShell und WebShell
Zunächst nutzten die Angreifer die bekannten ProxyShell-Schwachstellen von Exchange-Servern aus, um dann ein bösartiges Backdoor-Skript (Webshell) in einem öffentlich zugänglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann bösartigen PowerShell-Code über den angegriffenen Server mit SYSTEM-Rechten ausführen.
Phase 2: Cobalt Strike
Der bösartige PowerShell-Code lud zusätzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgeführt.
Phase 3: Mimikatz und Pass-The-Hash
Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens „user“ und gingen zur Phase des Credential Dump über, in der sie Mimikatz einsetzten. Mittels dessen Modul „logonPasswords“ konnten die Passwörter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer über den NTLM-Hash des Administrators verfügten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.
Phase 4: Suche nach sensitiven Informationen
Als nächstes führten die Angreifer umfangreiche Erkundungsaktivitäten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die „password“ im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Gerätenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.
Stufe 5: Einsatz von Ransomware
Schließlich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe verteilt und auf verschiedenen Geräten ausgeführt. Hierbei wurden mehrere Operationen durchgeführt, wie das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das Löschen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschlüsselungsprozess gewährlistet. Während der Verschlüsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.
Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs können verheerend sein: Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb nachhaltig stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bußgeldern im Rahmen der DSGVO führen.
Obwohl die Erkennung und Reaktion auf solche Vorfälle eine Herausforderung sein können, lassen sich die meisten böswilligen Aktivitäten verhindern, wenn die richtigen Sicherheitstools und Pläne zur Reaktion auf Vorfälle zur Verfügung stehen sowie Patches für bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Maßnahmen:
- Patchen Sie den Exchange-Server auf die neuesten kumulativen Exchange-Updates (CU) und Sicherheitsupdates (SU), die von Microsoft bereitgestellt werden.
- Erzwingen Sie die Verwendung komplexer Passwörter und verlangen Sie von den Benutzern, dass sie ihre Passwörter regelmäßig ändern.
- Verwenden Sie die Microsoft LAPS-Lösung, um den Domänenkonten die lokalen Admin-Berechtigungen zu entziehen (Least-Privilege-Ansatz). Überprüfen Sie regelmäßig, ob inaktive Benutzerkonten vorhanden sind und entfernen Sie diese.
- Blockieren Sie die Verwendung von SMBv1 und verwenden Sie SMB-Signierung zum Schutz vor Pass-the-Hash-Angriffen.
- Beschränken Sie die Zugriffsrechte der Mitarbeitenden auf Dateien, die sie für ihre Arbeit tatsächlich benötigen.
- Erkennen und verhindern Sie automatisch Änderungen der Zugriffskontrolle, die gegen Ihre Richtlinien verstoßen.
- Schulen Sie Ihre Mitarbeiter in den Grundsätzen der Cybersicherheit. Regelmäßiges Awareness-Training muss fundamentaler Bestandteil der Unternehmenskultur sein.
- Legen Sie grundlegende Sicherheitspraktiken und Verhaltensregeln fest, die den Umgang mit und den Schutz von Unternehmens- und Kundeninformationen sowie anderen wichtigen Daten beschreiben.
