Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Cyberangriffe auf Active Directory besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Angriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat berichtet das Semperis Research Team über BlackCat-Angriffe, die eine FBI-Warnung auslösten, einen Angriff der Conti-Gruppe auf Panasonic, einen Hive-Angriff auf ein kalifornisches Gesundheitsunternehmen und mehr.
BlackHat Ransomware-Aktivität löst FBI-Warnung aus
Das U.S. Federal Bureau of Investigation (FBI) hat eine Warnung vor der Ransomware-as-a-Service (RaaS)-Gruppe BlackCat (auch bekannt als ALPHV) herausgegeben, die seit November 2021 weltweit Dutzende von Organisationen angegriffen hat. Es wird vermutet, dass BlackCat mit REvil und der Gruppe BlackMatter (Darkside) in Verbindung steht, die im Mai 2021 Colonial Pipeline angriff. BlackCat zielt auf Active Directory ab, um in Informationssysteme einzudringen, bevor es Malware abwirft.
Russische Unternehmen von durchgesickerter Conti-Ransomware betroffen
Tools, die ursprünglich von der russischen Ransomware-Gruppe Conti entwickelt wurden und einem ukrainischen Ransomware-Entwickler zugespielt wurden, wurden für Angriffe auf mehrere russische Unternehmen verwendet. Zu den Taktiken von Conti gehört die Erlangung von Active Directory-Domänenadministratoren-Zugangsdaten, bevor die Ransomware eingesetzt wird.
Die Ransomware-Gruppe Hive greift Partnership HealthPlan of California an
Die Ransomware-Gruppe Hive hat die Verantwortung für einen Angriff übernommen, bei dem die privaten Daten von 850.000 Mitgliedern von Partnership HealthPlan of California abgegriffen wurden. Neben anderen Taktiken verwendet Hive Remote-Admin-Software, um Systeme zu infiltrieren und Persistenz herzustellen, und setzt dann Tools wie ADRecon ein, um die AD-Umgebung abzubilden.
Conti beansprucht die Verantwortung für den Anschlag auf die kanadischen Niederlassungen von Panasonic
Beim zweiten Einbruch seit November 2021 meldete Panasonic, dass seine kanadischen Niederlassungen Opfer eines gezielten Cyberangriffs geworden sind. Die Ransomware-Gruppe Conti, die vor kurzem ehemalige TrickBot-Talente angeheuert hat, um ihre Fähigkeit zur Kompromittierung von Active Directory-Domänen-Anmeldeinformationen zu erweitern, übernahm die Verantwortung.