Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory stehen AD-Sicherheits-, Identitäts- und IT-Teams unter wachsendem Druck, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über aktuelle Cyberangriffe. In diesem Monat geht es um identitätsbezogene Angriffe, die Auswirkungen der Okta-Panne, Angreifer, die es auf das Active Directory einer japanischen Raumfahrtbehörde abgesehen haben, und die Ransomware-Gruppe BlackCat/ALPHV, die wiederholt Angriffe auf das Gesundheitsunternehmen Henry Schein gestartet hat.
Okta-Angriff kompromittiert Benutzerdaten des Kundensupports
Angreifer, die es im Oktober auf Okta abgesehen hatten, erlangten Benutzerdaten des Kundensupportsystems. Okta stellte fest, dass viele der angegriffenen Benutzer Administratoren waren, von denen einige keine MFA implementiert hatten. Das Unternehmen empfahl daher, MFA für den Admin-Zugang zu implementieren, eine erneute Authentifizierung für Admin-Sitzungen von neuen IP-Adressen aus zu verlangen, Timeouts für Admin-Sitzungen festzulegen und die Wachsamkeit gegenüber Phishing-Versuchen zu erhöhen.
Angreifer haben es auf das Active Directory der japanischen Raumfahrtbehörde abgesehen
Ein Angriff auf die japanische Raumfahrtbehörde JAXA zielte auf den Active Directory-Server der Organisation ab, wodurch möglicherweise wichtige Informationen, einschließlich der Anmeldedaten der Mitarbeiter, preisgegeben wurden.
Gesundheitsunternehmen Henry Schein erleidet erneuten Angriff von BlackCat/ALPHV
Der große US-amerikanische Anbieter von Gesundheitsprodukten und -dienstleistungen Henry Schein wurde im November zum zweiten Mal angegriffen, nachdem die Ransomware-Gruppe BlackCat/ALPHV das Unternehmen bereits im Oktober angegriffen hatte. Der Angriff legte einige seiner Anwendungen und die E-Commerce-Plattform lahm. ALPHV/BlackCat zielt oft auf Active Directory ab, um sich Zugang zu Informationssystemen zu verschaffen, bevor sie Malware abwerfen.
MOVEit-Angriff fordert Welltok-Gesundheitsdienstleister, AutoZone und den Bundesstaat Maine
Der US-Gesundheitsdienstleister Welltok meldete, dass er Opfer des Angriffs der Ransomware-Gruppe Clop auf die Server von MOVEit Transfer war und dass mehr als 8 Millionen Menschen von dem Angriff betroffen waren. AutoZone meldete ebenfalls, dass es Opfer des MOVEit-Angriffs war, ebenso wie der Bundesstaat Maine.
LockBit behauptet Angriffe auf kanadische Regierungsunternehmen und Boeing
Die Ransomware-Gruppe LockBit hat die Verantwortung für Angriffe auf zwei kanadische Auftragnehmer der Regierung übernommen, bei denen sensible Informationen über Regierungsmitarbeiter preisgegeben wurden. LockBit verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um die Organisationen der Opfer zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln. Der Flugzeughersteller Boeing meldete ebenfalls, dass er Opfer eines LockBit-Angriffs wurde.
Schwarze Basta-Gruppe hinter Anschlag auf öffentliche Bibliothek von Toronto
Die Ransomware-Gruppe Black Basta, deren Taktik unter anderem darin besteht, das Active Directory von Organisationen anzugreifen, hat die Verantwortung für einen Angriff auf die Toronto Public Library übernommen, bei dem persönliche Daten von Mitarbeitern, Kunden, Freiwilligen und Spendern kompromittiert wurden.