ВЫМОГАТЕЛЬ HIVE АТАКОВАЛ СЕРВЕРЫ MICROSOFT EXCHANGE

Оператор программы-вымогателя Hive атаковал серверы Microsoft Exchange, в которых содержится уязвимость ProxyShell. Данную уязвимость можно использовать для установки различных бэкдоров, включая маячки Cobalt Strike.

Уязвимость ProxyShell представляет собой набор из трех уязвимостей в Microsoft Exchange Server, которые в свою очередь позволяют удаленно выполнять код, в том числе без проверки подлинности в уязвимых средах. Вышеописанные уязвимости уже использовались несколькими злоумышленниками, такими как: Cuba, Conti, Babuk, BlackByte и LockFile

В первую очередь кибертеррористы проводят разведку, извлекают учетные данные учетной записи администратора, просматривают конфиденциальную информацию и шифруют системы. Далее хакеры внедрили четыре web-оболочки в доступную директорию Exchange и выполнили PowerShell-код с высокими привилегиями для загрузки Cobalt Strike, что позволило им остаться незаметными. Затем был использован Mimikatz для кражи пароля учетной записи администратора домена и выполнения перемещения по сети. Получив доступ, кибертеррористы создали видимость обширных операций по поиску более ценных файлов, чтобы заставить жертву заплатить крупный выкуп.

Мы всегда следим за появлением новых методов работы кибертеррористов, чтобы быть на шаг впереди. Благодаря данному подходу мы предлагаем Нашим Клиентам только самые эффективные решения от Наших Партнеров.