未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据

虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁，并敦促企业及时进行部署，但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击，被黑客获得了系统权限。

在攻击获得系统权限之后，该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike，并创建了一个名为“user”的新系统管理员账户。

然后，攻击者使用 Mimikatz（一款功能强大的轻量级调试神器）来窃取域管理员的 NTLM 哈希值，并获得对该账户的控制。在成功入侵后，Hive 进行了一些发现，它部署了网络扫描仪来存储 IP 地址，扫描文件名中含有"密码"的文件，并尝试RDP进入备份服务器以访问敏感资产。

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷，用于窃取并加密文件，删除影子副本，清除事件日志，并禁用安全机制。随后，会显示一个勒索软件的说明，要求该组织与Hive的"销售部门"取得联系，该部门设在一个可通过 Tor 网络访问的.onion 地址。

被攻击的组织还被提供了以下指示：

不要修改、重命名或删除*.key.文件。你的数据将无法解密。

不要修改或重命名加密的文件。你会失去它们。

不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

不要雇用恢复公司。没有密钥，他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者，但事实并非如此。他们通常会失败。所以要为自己说话。

不要拒绝（sic）购买。渗出的文件将被公开披露。

如果不向Hive付款，他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时，以迫使受害者付款。

该安全团队指出，在一个例子中，它看到攻击者在最初入侵的72小时内设法加密环境。因此，它建议企业立即给Exchange服务器打补丁，定期轮换复杂的密码，阻止 SMBv1，尽可能限制访问，并在网络安全领域培训员工。