Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory sehen sich AD-Sicherheits-, Identitäts- und IT-Teams einem wachsenden Druck ausgesetzt, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über die jüngsten Cyberangriffe. In diesem Monat zielt ein identitätsbezogener Angriff auf Johnson Controls ab, der MOVEit-Angriff fordert weitere Opfer in Kanada und den USA, und die Royal Ransomware-Gruppe fordert den Angriff auf die City of Dallas.
Johnson Controls-Geräte durch Ransomware-Angriff verschlüsselt
Das Automatisierungsunternehmen Johnson Controls meldete großflächige IT-Ausfälle, nachdem ein Ransomware-Angriff Geräte im gesamten Unternehmen verschlüsselt hatte. Ein Bedrohungsforscher entdeckte eine Ransomware-Notiz, in der behauptet wird, dass die Angreifer einen VMware ESXi-Verschlüsseler verwendet haben, der von Dark Angels entwickelt wurde, einer Ransomware-Gruppe, die verschiedene Taktiken anwendet, um in Netzwerke einzudringen und sich seitlich zu bewegen, um die Kontrolle über Windows-Domänen-Controller zu erlangen.
MOVEit-Verletzung fordert Opfer in Kanada und den USA
Die MOVEit-Datendiebstahl-Attacken der Ransomware-Gruppe Clop haben mehrere Opfer in Kanada und den USA gefordert, darunter das Hospital for Sick Children, das Kinderregister BORN Ontario und das National Student Clearinghouse in den USA. Zu den Angriffsmethoden von Clop gehört es, das gesamte Netzwerk des Opfers anzugreifen, indem der Active Directory (AD)-Server kompromittiert wird und Malware abgelegt wird.
Royal Ransomware-Gruppe behauptet, die Stadt Dallas sei verletzt worden
Ein Angriff auf die Stadt Dallas im Mai, der die IT-Systeme zum Stillstand brachte, wurde von der Ransomware-Gruppe Royal ausgeführt, die ein Domänen-Dienstkonto stahl, das die Angreifer dann nutzten, um Dateien zu exfiltrieren und Cobalt Strike-Nutzlasten abzuwerfen.
BlackCat/ALPHV zielt auf Kasinogruppe
Die Ransomware-Gruppe BlackCat/ALPHV beansprucht einen Angriff auf MGM, der den Betrieb unterbrochen hat. BlackCat/ALPHV, das routinemäßig auf Active Directory abzielt, um sich Zugang zu Informationssystemen zu verschaffen, bevor es Malware einschleust, verwendet auch den Sphynx-Verschlüsseler, um Azure-Cloud-Speicher-Konten anzugreifen.
Iranische APT33-Angreifer attackieren Verteidigungsunternehmen mit Passwort-Spray-Angriffen auf Entra ID (Azure AD)
Microsoft hat berichtet, dass die iranische Cyberkriminellengruppe APT33 Passwort-Spray-Taktiken verwendet hat, um bei weit verbreiteten Angriffen auf globale Verteidigungsorganisationen Zugang zu Entra ID (Azure AD) Anmeldedaten zu erhalten.