Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat stellt das Semperis Research Team Maßnahmen zur Entschärfung von zwei Active Directory-Schwachstellen vor, die es Angreifern ermöglichen könnten, Windows-Domänen zu übernehmen, sowie die Log4j-Schwachstelle und neue Aktivitäten der Ransomware-Gruppe Cuba.
Patching und zusätzliche Maßnahmen zur Behebung von Sicherheitslücken in Active Directory empfohlen
Nach der Veröffentlichung von Sicherheits-Patches für zwei Active Directory-Schwachstellen während des Patch Tuesday im November 2021 forderte Microsoft seine Kunden am 20. Dezember dringend auf, die Patches sofort anzuwenden, um zu verhindern, dass Angreifer Windows-Domänen übernehmen. Zusätzlich zu den Patches können Unternehmen weitere Maßnahmen ergreifen, um die unberechtigte Erstellung von Konten zu verhindern, die zu einer Eskalation der Privilegien und einem Angriff führen könnten.
Conti-Ransomware nutzt Log4j-Schwachstelle als Waffe
Die in Russland ansässige Conti-Gruppe hat eine umfassende Angriffskette entwickelt, die auf der im Dezember aufgedeckten Log4j-Schwachstelle in der Apache-Protokollierungsbibliothek basiert. Die Angriffsmethodik umfasst Kerberoasting, bei dem Anmeldeinformationen für Dienstkonten aus dem Active Directory extrahiert werden. Die Log4j-Schwachstelle steht im Verdacht, einen Ransomware-Angriff auf Kronos, eines der größten Unternehmen für Personalsoftware, ausgelöst zu haben. Dabei wurden die Gehaltsabrechnungssysteme von Organisationen wie der New York Metropolitan Transportation Authority (MTA) und vielen Krankenhäusern gestört.
FBI warnt vor Aktivitäten einer kubanischen Ransomware-Gruppe, die auf kritische Infrastrukturen abzielt
Das U.S. Federal Bureau of Investigation (FBI) hat die Taktik der Ransomware-Gruppe Cuba aufgedeckt, mit der sie Dutzende von kritischen Infrastrukturen im Gesundheitswesen, in der Regierung und in anderen Branchen kompromittiert hat, einschließlich kompromittierter Zugangsdaten.
Die Taktik der ALPHV BlackCat Ransomware umfasst die Konfiguration von Domänen-Anmeldeinformationen
Die Forschungsgruppe MalwareThreatHunter entdeckte ALPHV BlackCat, eine ausgeklügelte neue Ransomware mit anpassbaren Funktionen, die es Bedrohungsakteuren ermöglicht, neben anderen Taktiken Domain-Anmeldedaten zu konfigurieren, um Malware zu verbreiten und Geräte im Netzwerk zu verschlüsseln.
Mehr Ressourcen
Möchten Sie die Verteidigung Ihres Active Directory gegen Cyberangriffe stärken? Sehen Sie sich unsere neuesten Ressourcen an.