Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory stehen AD-Sicherheits-, Identitäts- und IT-Teams unter wachsendem Druck, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über aktuelle Cyberangriffe. In diesem Monat geht es um groß angelegte MOVEit-Angriffe der Ransomware-Gruppe Clop, BlackCat-Angriffe auf Reddit und die australische Anwaltskanzlei HWL und mehr.
Clop-Bande beansprucht MOVEit-Angriffe
Die Ransomware-Bande Clop hat sich zu groß angelegten Angriffen bekannt, die Zero-Day-Schwachstellen in der MOVEit Transfer Managed File Transfer (MFT)-Lösung ausnutzen. Zu den Opfern gehören das New York City Department of Education, der Versicherungsanbieter Genworth Financial aus Virginia, das California Public Employees' Retirement System (CalPERS), das Louisiana Office of Motor Vehicles und die Oregon Driver & Motor Vehicle Services. Zu den Angriffsmethoden von Clop gehört es, das gesamte Netzwerk des Opfers anzugreifen, indem er den Active Directory (AD)-Server kompromittiert und Malware einschleust.
Microsoft behebt Autorisierungsfehler, der die Übernahme von Azure AD-Konten ermöglicht
Microsoft hat einen Patch für eine Authentifizierungslücke in Azure AD veröffentlicht, die es böswilligen Akteuren ermöglicht, ihre Privilegien zu erweitern und Konten zu übernehmen. Zu den Unternehmen, die für die Fehlkonfiguration anfällig waren, gehörten eine Design-App, ein Unternehmen für Kundenerfahrung und eine Multi-Cloud-Beratungsfirma.
Grafana veröffentlicht Patch für eine Sicherheitslücke, die eine Umgehung der Azure AD-Authentifizierung ermöglicht
Grafana, eine Open-Source-Analyse- und Visualisierungs-App, hat Sicherheitskorrekturen veröffentlicht, um eine Schwachstelle zu beheben, die es Cyberangreifern ermöglicht, die Azure AD-Authentifizierung zu umgehen und Grafana-Konten zu übernehmen.
ALPHV/BlackCat Ransomware-Gruppe droht mit Datenverlust durch Reddit-Verletzung
Die Ransomware-Gruppe BlackCat (auch bekannt als ALPHV) hat den Angriff auf Reddit im Februar für sich beansprucht und gedroht, Daten zu veröffentlichen, wenn die Lösegeldforderungen nicht erfüllt werden. BlackCat hat sich auch zu einem Angriff auf das australische Unternehmen HWL Ebsworth im April bekannt und 1,45 TB an gestohlenen Daten veröffentlicht. Es wird vermutet, dass BlackCat mit REvil und der Gruppe BlackMatter (Darkside), die im Mai 2021 Colonial Pipeline angriff, in Verbindung steht. BlackCat zielt auf Active Directory ab, um in Informationssysteme einzudringen, bevor es Malware einschleust.