Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory sehen sich AD-Sicherheits-, Identitäts- und IT-Teams einem wachsenden Druck ausgesetzt, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über aktuelle Cyberangriffe. In diesem Monat warnt Microsoft vor dem Bedrohungsakteur Octo Tempest, die neue Rorschach (aka BabLock) Ransomware trifft ein chilenisches Telekommunikationsunternehmen und ALPHV/BlackCat schlägt mehrfach zu.
Microsoft warnt vor Octo Tempest-Bedrohungsakteur
Microsoft hat ein detailliertes Profil des Bedrohungsakteurs Octo Tempest veröffentlicht, der mit der Ransomware-Gruppe ALPHV/BlackCat zusammenarbeitet, um Datenerpressung und Ransomware-Angriffe auf Unternehmen zu verüben, die Telekommunikations-, E-Mail- und technische Dienste anbieten. Microsoft empfiehlt neben anderen Richtlinien die Überwachung und Überprüfung von identitätsbezogenen Prozessen.
Lazarus-Gruppe nimmt wiederholt Softwarehersteller und TeamCity-Server ins Visier
Die nordkoreanische Cyberkriminellengruppe Lazarus hat wiederholt einen Softwarehersteller ins Visier genommen, um SIGNBT-Malware zu verbreiten, und sich zu einem Angriff auf TeamCity bekannt, einem Hersteller von Servern für kontinuierliche Integration und Bereitstellung. Zu den Methoden von Lazarus gehört die Kompromittierung von Active Directory, um an Listen von Administratorkonten zu gelangen.
Chilenische Telekommunikationsgesellschaft von neuer Rorschach-Ransomware betroffen, die auf Domain-Controller abzielt
Grupo GTD, ein chilenisches Telekommunikationsunternehmen, das Dienste in ganz Lateinamerika anbietet, wurde von einer neuen Ransomware namens Rorschach (auch bekannt als BabLock) angegriffen, die über eine DLL-Side-Loading-Technik bereitgestellt wird. Wenn die Ransomware in einer Windows-Domäne ausgeführt wird, erstellt sie eine Gruppenrichtlinie, um die Malware auf andere Hosts zu übertragen.
ALPHV/BlackCat verstößt gegen Seiko, das Bezirksgericht von Florida und MotelOne
Die Ransomware-Gruppe ALPHV/BlackCat meldete Angriffe auf den Uhrenhersteller Seiko, das Bezirksgericht von Florida und die Low-Budget-Hotelkette MotelOne. ALPHV/BlackCat zielt routinemäßig auf Active Directory ab, um sich Zugang zu Informationssystemen zu verschaffen, bevor sie Malware abwerfen.
Passwortmanagement-Plattform 1Password im Visier von Okta-Verletzung
Cyberangreifer verschafften sich Zugang zum Okta ID Management Tenant von 1Password, einer Plattform zur Passwortverwaltung. Das Unternehmen behauptete jedoch, die böswilligen Aktivitäten beendet und keine Beweise für eine Datenkompromittierung gefunden zu haben. (Informationen darüber, wie Sie Okta-Schwachstellen entschärfen können, finden Sie unter Purple Knight to Detect the Okta Super Admin Attack - Semperis).
Sony wird Opfer eines MOVEit-Angriffs
Der Unterhaltungsriese Sony hat bekannt gegeben, dass bei den Angriffen auf die MOVEit Transfer-Plattform durch die Ransomware-Gruppe Clop, die u. a. die Active Directory (AD)-Server der Opfer kompromittiert und Malware einschleust, Mitarbeiterdaten preisgegeben wurden.