De hackergroep jaagt op Exchange Server in hoge snelheidsmodus

Een hackergroep genaamd “Hive” is momenteel op zoek naar kwetsbare Microsoft Exchange-servers om verantwoordelijkheid te nemen voor snelle ransomware-aanvallen en afpersingsbedrijven. Ze zetten hun slachtoffers onder druk om snel geld te betalen.

De hackergroep Hive is sinds medio vorig jaar actief en bedreigt vooral bedrijven en overheden. Zoals nu uit een rapport van Online tijdschrift ZDNet en beveiligingsonderzoekers van De opkomst van de forensische geneeskunde FaronesEr is een recente chantagezaak die meer onthult over de cybergangsters en hun modus operandi. Interessant is dat vreemden proberen toegang te krijgen tot de netwerken door misbruik te maken van een oude kwetsbaarheid in Microsoft Exchange Server.
Infographic vaak gehoord – nooit gebruikt: maatregelen voor internetveiligheid

Microsoft heeft vorig jaar de ProxyShell-kwetsbaarheid gepatcht, maar er zijn nog steeds veel verouderde Exchange-servers die toegankelijk zijn voor online hackers die kunnen worden misbruikt voor de aanval. Volgens ZDNet is een van de speciale kenmerken dat Hiev met een bepaalde snelheid vooruitgaat en zijn slachtoffers niet veel tijd laat om te handelen.

Hacken, wachtwoorden wissen, systemen overnemen

In één geval duurde het minder dan 72 uur om een ​​bedrijf te infiltreren en losgeld te eisen. Als de hackergroep toegang kreeg, zouden ze de ProxyShell-kwetsbaarheid kunnen gebruiken om zichzelf systeemrechten toe te kennen en proberen het beheerdersaccount over te nemen door het wachtwoord te stelen.

Ten slotte wordt een aangepaste malware-payload verspreid en uitgevoerd via windows.exe die meer bestanden steelt en versleutelt, back-ups en gebeurtenislogboeken verwijdert en beveiligingsmechanismen overwint. Vervolgens wordt de chantagebrief naar de slachtoffers gestuurd. Hive dreigt de gestolen informatie via de lekwebsite te verspreiden als er niet wordt betaald. Op dezelfde site wordt afgeteld tot de betaling van het slachtoffer.

Varonis raadt systeembeheerders aan ervoor te zorgen dat hun Exchange-servers gepatcht zijn. Beheerders moeten ook frequente wachtwoordwisselingen afdwingen, SMBv1 blokkeren en SMB-ondertekening gebruiken.

Downloaden RogueKiller – Malwaredetectie en verwijdering
Downloaden Malwarebescherming tegen malware
Zie ook:

Microsoft, Cloud, E-mail, Office 365, Microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft Exchange, Microsoft 365 for Business, Online Exchange, Mail Server, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online logo, e-mailserver, cloudhosting