Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen die Sicherheitsteams für Identitäts- und Active Directory (AD) unter Druck, die sich ständig verändernde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich dagegen zu schützen, bietet das Semperis Research Team diese monatliche Übersicht über die jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat stellt das Semperis Research Team neue Angriffe verschiedener etablierter Ransomware-Gruppen vor: Vice Society setzt seine Kampagne gegen öffentliche Einrichtungen wie Schulen und Feuerwehren fort, Sandworm setzt verschiedene Formen von datenlöschender Malware auf ukrainische Ziele ein und LockBit greift Royal Mail und das Eisenbahn- und Lokomotivunternehmen Wabtec an.
Daten vernichtende Malware SwiftSlicer, die Sandworm zugeschrieben wird, trifft auf Ukraine-Ziel
SwiftSlicer, eine neue datenlöschende Malware, die wichtige, vom Windows-Betriebssystem verwendete Dateien überschreibt, wurde bei einem Angriff auf die Ukraine eingesetzt, der Sandworm zugeschrieben wird, einer Cybercrime-Gruppe, die für die russische Regierung arbeitet. Die Sandworm-Gruppe nutzte die Active Directory-Gruppenrichtlinie, um SwiftSlicer zu starten.
Sandwurm greift ukrainische Nachrichtenagentur mit Datenabwischern an
Sandworm verwendete fünf Arten von Wiperware bei dem Versuch, die Datensysteme von Ukrinform, der nationalen Nachrichtenagentur der Ukraine, lahmzulegen. Zu der Malware gehörten CaddyWiper, ZeroWipe und SDelete, die alle auf das Windows-Betriebssystem abzielen. Die Angreifer nutzten die Active Directory-Gruppenrichtlinie, um die CaddyWiper-Malware zu starten. Obwohl der Angriff Dateien auf einigen Datenspeichersystemen zerstörte, konnte er den Betrieb von Ukrinform nicht unterbrechen.
Vice Society setzt AD-bezogene Angriffe auf globale Organisationen des öffentlichen Sektors fort
Die Ransomware-Bande Vice Society setzte ihre Kampagne gegen Schulen und Universitäten mit einem Angriff auf die Universität Duisburg-Essen in Deutschland fort, bei dem der IT-Betrieb gestört und persönliche Daten von Studenten und Mitarbeitern offengelegt wurden. Vice Society übernahm auch die Verantwortung für einen Angriff auf die australische Feuerwehr Victoria, der interne Dienste beeinträchtigte und die Daten von Mitarbeitern kompromittierte. Vice Society verwendet Ransomware wie BlackCat, um Active Directory zu kompromittieren und die Kontrolle über die Netzwerkumgebung des Opfers zu erlangen. Vice Society ist auch verantwortlich für den Angriff auf den Los Angeles Unified School District im Sommer 2022, den zweitgrößten Schulbezirk der USA.
LockBit Ransomware-Bande mit Angriffen auf Royal Mail und Wabtec Eisenbahn- und Lokomotivunternehmen in Verbindung gebracht
Ein LockBit Ransomware-Verschlüsselungsprogramm wurde bei einem Angriff auf Royal Mail, den größten britischen Postzustelldienst, eingesetzt, der eine Unterbrechung der internationalen Exportdienste verursachte. LockBit zielte auch auf den US-amerikanischen Lokomotiv- und Eisenbahnhersteller Wabtec in einem Angriff ab, bei dem persönliche und sensible Informationen durchsickerten, nachdem Wabtec sich weigerte, das Lösegeld zu zahlen. Die LockBit-Gruppe verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um Opferorganisationen zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.