Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory sehen sich AD-Sicherheits-, Identitäts- und IT-Teams einem wachsenden Druck ausgesetzt, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über die jüngsten Cyberangriffe. In diesem Monat warnt Spanien vor Phishing-Angriffen, bei denen LockBit Locker Ransomware eingesetzt wurde, die Ransomware-Gruppe Rhysida meldete einen Angriff auf Prospect Medical und BlackCat hatte es auf den Uhrenhersteller Seiko abgesehen.
LockBit Locker Ransomware-Kampagne zielt auf Architekturbüros in Spanien
Eine Ransomware-Gruppe, die vermutlich nichts mit der LockBit-Gruppe zu tun hat, hat die Verschlüsselungstechnologie LockBit Locker in einer Kampagne gegen spanische Architekturunternehmen eingesetzt. Die Kampagne verwendet Phishing-E-Mails, die sich als Fotogeschäft ausgeben, um Zugang zu Administratorrechten auf Windows-Rechnern zu erhalten.
Rhysida-Gruppe behauptet Angriff auf Prospect Medical
Die Ransomware-Gruppe Rhysida meldete einen Angriff auf Prospect Medical Holdings, bei dem 500.000 Sozialversicherungsnummern, Unternehmensdokumente und Patientendaten erbeutet wurden. Neben anderen Taktiken verwendet Rhysida ein PowerShell-Skript, um Rechner zu kompromittieren, einschließlich der Beendigung von RDP-Konfigurationen und der Änderung von Active Directory-Passwörtern.
BlackCat behauptet Angriff auf den Uhrenhersteller Seiko
Der japanische Uhrenhersteller Seiko wurde Opfer eines Ransomware-Angriffs durch die BlackCat/ALPHV-Gruppe, bei dem Produktionspläne, Scans von Mitarbeiterausweisen, Labortestergebnisse und Informationen über zukünftige Uhrendesigns durchsickerten. BlackCat zielt auf Active Directory ab, um sich Zugang zu Informationssystemen zu verschaffen und dann Malware abzusetzen.
Kuba Ransomware-Gruppe zielt auf kritische Infrastruktur in den USA und Lateinamerika
Die Ransomware-Gruppe Cuba kompromittierte kritische Infrastruktur-Organisationen in den USA und Lateinamerika, indem sie eine Schwachstelle im NetLogon-Protokoll von Microsoft ausnutzte, um eine Privilegienerweiterung auf Active Directory-Domänencontrollern durchzuführen.
MOVEit-Verletzung erstreckt sich auf Colorado, Missouri und den US-Regierungsauftragnehmer Serco
Der MOVEit-Angriff durch die Ransomware Clop hat weitere Opfer getroffen, darunter das Colorado Department of Health Care Policy & Financing (HCPF), das Missouri Department of Social Services und das US-Regierungsunternehmen Serco. Zu den Angriffsmethoden von Clop gehört es, das gesamte Netzwerk des Opfers anzugreifen, indem der Active Directory (AD)-Server kompromittiert wird und Malware abgelegt wird.