Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat beleuchtet das Semperis Research Team identitätsbezogene Cyberangriffe, darunter den Missbrauch der Schwachstellen ProxyShell und PetitPotam durch LockFile, die zunehmenden LockBit 2.0-Angriffe und die sich ausweitenden Hive-Exploits.
LockFile-Angreifer beschleunigen die Nutzung von ProxyShell Exchange Server und PetitPotam-Schwachstellen
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) warnte, dass LockFile-Angreifer aktiv die ProxyShell Exchange Server-Schwachstelle und die PetitPotam-Schwachstelle ausnutzen, um sich Zugang zu Active Directory und den dazugehörigen Netzwerken zu verschaffen und anschließend Malware zu verbreiten.
LockBit 2.0 Angriffe steigen an
Die Zunahme von LockBit 2.0-Angriffen, zu denen auch ein Einbruch in die Systeme des globalen Beratungsunternehmens Accenture gehört, veranlasste das Australian Cyber Security Centre zu einer Warnung vor einem "starken und signifikanten Anstieg" der gemeldeten Angriffe. LockBit 2.0 verschlüsselt automatisch Geräte in Windows-Domänen, indem es die Gruppenrichtlinien von Active Directory missbraucht.
Hive-Übernahme des Gesundheitssystems löst FBI-Alarm aus
Das FBI hat eine Warnung und eine Liste von Indicators of Compromise (IOCs) veröffentlicht, die mit der Ransomware Hive in Verbindung gebracht werden, nachdem die Gruppe das Memorial Health System in Ohio und Virginia lahmgelegt hat. Neben verschiedenen anderen Taktiken verwendet Hive Fernverwaltungssoftware wie ConnectWise, um Systeme zu infiltrieren und sich zu etablieren, und setzt dann Tools wie ADRecon ein, um die Active Directory-Umgebung abzubilden.
Nokia-Tochter leidet unter Conti-Ransomware-Angriff
SAC Wireless, ein Tochterunternehmen von Nokia, wurde von einem Ransomware-Angriff der Conti-Gruppe heimgesucht, der in das Netzwerk eindrang, Daten stahl und die Systeme verschlüsselte. Der Angriff veranlasste das Unternehmen, die Richtlinien für den Systemzugriff zu verschärfen und die Anforderungen für die Multi-Faktor-Authentifizierung (MFA) zu erweitern, neben anderen Abhilfemaßnahmen.
Böser Verdacht bei Angriff auf Krankenhaus in Nevada
Das University Medical Center Southern Nevada meldete einen Ransomware-Angriff, der Analysten zufolge das Werk der REvil-Gruppe sein könnte, die verschiedene Taktiken anwendet, um in Systeme einzudringen, einschließlich der Ausnutzung von Administratorrechten.
Crytek Spieleentwickler meldet Ransomware-Angriff auf Egregor
Die Ransomware-as-a-Service-Gruppe Egregor ist in die Informationssysteme des Spieleentwicklers Crytek eingedrungen, hat Daten verschlüsselt und Kundeninformationen gestohlen. Egregor, das für die berüchtigten Angriffe auf die Einzelhändler Barnes & Noble und Kmart verantwortlich war, nutzt Fehlkonfigurationen im Active Directory aus, um in Netzwerke einzudringen.
BazaCall-Bedrohungen nutzen Telefonzentralen zur Verbreitung von Malware
Microsoft warnt verstärkt vor BazaCall-Bedrohungen, die Opfer dazu verleiten, in einem betrügerischen Telefonzentrum anzurufen und die Ransomware BazaLoader herunterzuladen, wobei sie von menschlichen Mitarbeitern Schritt für Schritt angeleitet werden. Nach dem ersten Einbruch verwenden die Angreifer ADFind (ein kostenloses Befehlszeilen-Tool zur Erkennung von ADs), um die Systeme der Opfer auszuspähen.
Mehr Ressourcen
