Semperis Team

Die Besorgnis über den Ransomware-Angriff von DarkSide auf Colonial Pipeline hat sich über die Cybersicherheitsbranche hinaus in das Bewusstsein der normalen Verbraucher ausgebreitet - ein Indikator für die weitreichenden Auswirkungen des Angriffs auf die Weltwirtschaft. Als Reaktion darauf hat die Biden-Regierung eine Durchführungsverordnung erlassen und eine Pressekonferenz abgehalten, und die Hacker-Community hat sich bemüht, die Server der DarkSide-Ransomware-Bande auszuschalten.

Was können Sie tun, um Ihr Unternehmen vor einem Ransomware-as-a-Service (RaaS)-Angriff wie dem zu schützen, der Colonial Pipeline lahmgelegt hat? Zunächst sollten Sie sich ein Bild davon machen, wie RaaS-Angriffe typischerweise durchgeführt werden, wobei in der Regel Windows-Schwachstellen für den Erstzugriff ausgenutzt werden. In diesem Video erläutert Sean Deuby, Microsoft MVP und Semperis Director of Services, wie Angreifer in Active Directory eindringen.

Verwandte Lektüre

Wie Deuby in dem Video erklärt, folgen RaaS-Gruppen einem bestimmten Verhaltensmuster:

  • Ein Angriff beginnt mit einer "Erkundung", bei der Penetrationstools eingesetzt werden, um einen ersten Zugang zu Ihren Systemen zu erhalten.
  • Nachdem die Angreifer erfolgreich Fuß gefasst haben, verbringen sie Wochen damit, nach Schwachstellen zu suchen und sich Zugang zu privilegierten Benutzerkonten zu verschaffen.
  • Die Bande wird versuchen, die Auswirkungen zu maximieren, nachdem sie Ihre Systeme gesperrt und Lösegeld gefordert hat.
  • Bei dem Angriff werden nicht nur Ihre sensiblen Daten gestohlen, sondern es wird wahrscheinlich auch damit gedroht, die Daten zu veröffentlichen, wenn nicht rechtzeitig ein Lösegeld gezahlt wird.

Insbesondere die DarkSide-Ransomware-Bande hat ein paar eigene Macken:

  • DarkSide ist geschäftstüchtig. DarkSide behauptet nicht nur, "Prinzipien" zu haben, wie z.B. keine Krankenhäuser oder Schulen anzugreifen, sondern greift nur Organisationen an, von denen es weiß, dass sie zahlen können und werden.
  • Die Bande ist opportunistisch und schlägt zu, wenn die Unternehmen am ehesten bereit sind zu zahlen. Sie ist geduldig und führt mehrere Wochen lang Erkundungen durch, um die Kronjuwelen zu finden.
  • Schließlich weiß es, dass die Einnahmen aus Ransomware vorhersehbar sind - es gibt keine Anzeichen dafür, dass Ransomware-as-a-Service nachlässt. Der Angriff auf Colonial Pipeline zum Beispiel zeigt, dass Gruppen wie DarkSide ihre Jagd auf Infrastrukturanbieter und SCADA-Systeme eröffnet haben.

Auch wenn Sie kein Infrastrukturunternehmen sind, sollten Sie das Folgende bedenken: Ransomware-as-a-Service-Angriffsgruppen bevorzugen Windows-Schwachstellen. Gängige Ratschläge wie "Halten Sie Ihre Windows-Systeme auf dem neuesten Stand" sind bei dieser Art von Angriffen besonders wichtig. Es ist jedoch auch wichtig, dass Sie proaktiv nach schwachen Konfigurationen in Ihren Identitätssystemen (insbesondere Active Directory) suchen, die ein bevorzugtes Ziel für Angreifer darstellen.

Download Purple Knight Kostenloses Tool zur Sicherheitsbewertung

Um Unternehmen beim Schutz vor Ransomware-as-a-Service-Angriffen zu helfen, hat Semperis ein kostenloses Sicherheitsbewertungstool veröffentlicht, Purple Knightveröffentlicht, mit dem Unternehmen ihre Microsoft Active Directory (AD)-Umgebung auf sichere Weise untersuchen können, um gefährliche Fehlkonfigurationen und andere Schwachstellen zu identifizieren, die Angreifer ausnutzen können, um Daten zu stehlen und Malware-Kampagnen zu starten. Das Tool, das von einer Elitegruppe von Microsoft-Identitätsexperten entwickelt und verwaltet wird, versetzt Unternehmen in die Lage, die Flut eskalierender Angriffe auf AD zu bekämpfen, indem es Indikatoren für die Gefährdung und Kompromittierung ihrer Umgebungen aufspürt und Korrekturanleitungen zur Schließung von Lücken bereitstellt.

Purple Knight wird derzeit von einigen der größten Organisationen mit den komplexesten Identitätsumgebungen der Welt verwendet. Zu Beginn meldeten die Benutzer eine durchschnittliche Fehlerquote von 61 %, was erklärt, warum AD ein leichtes Ziel für Ransomware-Banden ist. Purple Knight hilft Ihnen, die Bereiche zu identifizieren, in denen die Sicherheit Ihres Identitätssystems Aufmerksamkeit erfordert, einschließlich Kerberos-Sicherheit, AD-Delegation, Kontosicherheit, AD-Infrastruktursicherheit und Gruppenrichtliniensicherheit.

Sie können mehr über Purple Knight erfahren und einen kostenlosen Zugang anfordern unter purple-knight.com. Weitere Analysen der jüngsten Angriffe auf Active Directory finden Sie in dem Web-Seminar "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", präsentiert von Ran Harel (Semperis Principal Security Product Manager) und Brian Desmond (Principal der Ravenswood Technology Group).

Nur ein paar Minuten Ihrer Zeit können ausreichen, um Ihr zentrales Identitätssystem zu schützen und die Eintrittsbarriere für Angreifer zu erhöhen.