新しいインシデントレポートは、Hiveランサムウェアが組織を標的にする方法を明らかにします

アフィリエイトによって実行された最近のHiveランサムウェア攻撃には、名前のない顧客のネットワークを暗号化するために昨年開示されたMicrosoftExchangeServerの「ProxyShell」脆弱性の悪用が含まれていました。
この場合、欠陥の悪用に成功すると、攻撃者は侵入先のサーバーにWebシェルを展開し、それらを使用してSYSTEM権限で悪意のあるPowerShellコードを実行し、新しいバックドア管理者ユーザーを作成し、ドメイン管理者アカウントを乗っ取り、横方向に移動することができました。
そこから、攻撃者はネットワークをスキャンして貴重なファイルを探し、Golangランサムウェア実行可能ファイル（「Windows.exe」という名前）を展開して暗号化プロセスを完了し、被害者に身代金メモを表示します。
マルウェアによって実行されるその他の操作には、シャドウコピーの削除、セキュリティ製品のオフ、Windowsイベントログのクリアが含まれ、検出を回避し、回復を防ぎ、問題なく暗号化が行われるようにします。