Der jüngste Ransomware-as-a-Service-Angriff lässt das bekannte Einzelhandelsunternehmen, Kmart, mit Serviceausfällen und einem kompromittierten Active Directory.
Nachdem sich die Ransomware Maze im letzten Monat "zurückgezogen" hat, sind viele ihrer Partner zu dem neuen Ransomware-Kind Egregor übergegangen. Egregor ist nach einem okkulten Begriff benannt, der die kollektive Energie oder Kraft einer Gruppe von Individuen bezeichnet (was angesichts des Affiliate-Modells der Ransomware angemessen ist). Egregor tritt in die Fußstapfen von Maze und nutzt sowohl Verschlüsselung, Datendiebstahl als auch Erpressung als Mittel, um die erfolgreiche Zahlung des Lösegelds sicherzustellen.
Laut demAngriffsbericht bei Bleeping Computerbestätigt die Lösegeldforderung, dass die Active Directory-Domäne von Kmart als Teil des Angriffs kompromittiert wurde. Es wurden zwar keine spezifischen Details genannt, aber wir können einige Vermutungen anstellen, die auf früheren ähnlichen Angriffen basieren, bei denen Maze, Ryukund Save the Queen kompromittiert wurden und Active Directory ausnutzten, um die Ransomware-Nutzlast auf so viele Systeme wie möglich zu verbreiten. Jeder dieser Stämme verschaffte sich erweiterten Zugriff auf Active Directory und nahm bestimmte böswillige Änderungen vor. Das bedeutet, dass irgendwo auf dem Weg mindestens ein Konto mit administrativen Rechten für einen Teil oder das gesamte Active Directory kompromittiert wurde und ein Teil von Active Directory schließlich in einem von einem Bedrohungsakteur kontrollierten, unsicheren Zustand.
Dies ist in mehrfacher Hinsicht beunruhigend:
1. Active Directory hätte nicht angreifbar sein dürfen- Wir alle wissen, dass Active Directory auch heute noch für einen großen Teil der Unternehmen als primärer zentraler Identitätsspeicher dient - selbst für diejenigen, die eine hybride Identitätsstrategie verfolgen. Die Tatsache, dass die "Domäne" kompromittiert wurde, bedeutet auch, dass Active Directory nach wie vor ein Schlüsselelement im Netzwerk von Kmart ist. Active Directory ist oft der Dreh- und Angelpunkt bei Ransomware-Angriffen, die sich schnell im Netzwerk verbreiten. Sobald Active Directory kompromittiert wurde, ist der Weg zu jedem angeschlossenen System in der Umgebung leider ziemlich frei. Da Active Directory so stark ausgenutzt wird und gleichzeitig das Rückgrat des Unternehmens ist, muss es besonders geschützt werden. Zumindest geht es um die Überwachung von und die Alarmierung bei Änderungen. Idealerweise sollten auch Änderungen an bestimmten Konten, Gruppen und anderen Objekten geschützt werden, indem Workflow-Genehmigungen und/oder automatische Rollbacks ausgelöst werden.
2. Kmart hat Glück gehabt- Aus allen Berichten geht hervor, dass nicht der gesamte Betrieb von Kmart lahmgelegt wurde. Das bedeutet wahrscheinlich, dass Active Directory zwar kompromittiert wurde, aber nicht ausfiel, so dass alle domänenabhängigen Dienste im gesamten Forest weiterhin funktionieren konnten. Es gab jedoch auch Fälle, in denen Unternehmen nicht so viel Glück hatten, wie z.B. der NotPetya-Angriff im Jahr 2018 auf Maersk beidem buchstäblich jeder einzelne Domänencontroller außer Betrieb gesetzt wurde, mit Ausnahme eines Offline-Servers, den man in einem entfernten Büro in Ghana fand. Es ist fahrlässig anzunehmen, dass ein Cyberangriff Active Directory niemals ausschalten wird. Die Fähigkeit, es einfach - und vor allem schnell - wiederherzustellen, ist entscheidend.
3. Active Directory in einen bekannt sicheren Zustand zu versetzen, war wahrscheinlich nicht einfach- In vielen Unternehmen bleiben bösartige Änderungen an Active Directory vielleicht nichtunbemerktaber sie werden mit Sicherheit lange genug zugelassen, damit die bösartigen Auswirkungen spürbar werden. Wenn Sie nicht wissen, was in Active Directory geändert wurde, wie können Sie dann wissen, was wiederhergestellt oder rückgängig gemacht werden muss, um bösartige Änderungen zu beseitigen? Wurden neue gefälschte Benutzerkonten erstellt? Wurden Änderungen an der Mitgliedschaft in der Gruppe Domain Admins vorgenommen? Wie wäre es mit Änderungen an den Gruppenrichtlinien, um den Domänencontrollern oder allen Arbeitsstationen die Rechte "Als Betriebssystem agieren" zu gewähren? Die Liste lässt sich beliebig fortsetzen. Kurz gesagt, ohne den Schutz von Active Directory können Sie die vorgenommenen Änderungen nicht ohne weiteres korrigieren, was eine Wiederherstellung erfordert, die wahrscheinlich nicht so einfach sein wird wie "Wiederherstellung der Domäne auf den Stand von gestern Mittag".
Egregor ist ein relativ neuer Akteur in der Szeneund wir erwarten, dass sein Name in den kommenden Monaten noch häufiger in den Schlagzeilen auftauchen wird. Sie wissen bereits, dass, wenn Active Directory abstürzt, auch der Rest Ihres Netzwerks abstürzen kann. Der jüngste Egregor-Ransomware-Angriff auf Kmart sollte Sie also daran erinnern, dass Active Directory im Rahmen Ihrer Cybersicherheitsstrategie besondere Aufmerksamkeit erfordert. Schützen Sie es intensiv und halten Sie Bedrohungsakteure fern. Zweitens: Gehen Sie davon aus, dass selbst wenn Sie eine Strategie der Tiefenverteidigung nur für Active Directory einrichten, es trotzdem eines Tages einen Angriff geben wird, derwirdSie müssen dann in der Lage sein, Active Directory wieder in den Zustand vor dem Angriff zu versetzen - sei es eine einzelne Änderung, der gesamte Forest oder etwas dazwischen.