Varonis Forensics Teamが公開したレポートによると、「Hive」と呼ばれるグループがMicrosoft Exchange Serverを対象としたランサムウェア攻撃を実施していることがわかりました(Windows Central)。Varonisは2021年6月にHiveを初めて発見して以来、世界中の非営利団体、エネルギープロバイダー、医療機関などに対してランサムウェア攻撃を実施しているのを確認していると主張しています。
Hiveの攻撃は、ランサムウェアの典型的な使用例で、デバイスにマルウェアを感染させてファイルを取得し、代金を支払うか、機密データを公開されるリスクを負うかを組織や企業に対して要求するものです。
攻撃者は「Pass-The-Hash」と呼ばれる手法を用い、パスワードを解読せずにドメイン管理者のアカウントの制御を試みます。最終的には「Windows.exe」という名前のというカスタムメイドのマルウェアのペイロードが配信され、さまざまなデバイスで実行された結果、組織内のファイルが広範囲にわたって暗号化され、アクセスが拒否されるようになるとのことです。
当然ながらWindows.exeはWindows 11を含む正規のWindowsファイルとは全く関係がありません。
Hiveの攻撃は、パッチが適用されていないExchange Serverを狙った物で、2021年4月あるいは5月のセキュリティアップデートを適用していないサーバーは影響を受けやすいとのこと。まだパッチを適用していないサーバー管理者の方は早急に更新した方がよさそうです。
