Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat berichtet das Semperis Research Team über verstärkte Aktivitäten von Conti, BlackCat-Angreifer, die es auf Exchange-Server abgesehen haben, und mehr.
Conti-Gruppe greift 40 Organisationen in einem Monat an
Die Ransomware-as-a-Service (RaaS)-Gruppe Conti führte Ende 2021 eine Kampagne durch, bei der in einem Monat mehr als 40 Organisationen angegriffen wurden. Conti, zu dessen Taktik die Kompromittierung von Active Directory-Domänenanmeldeinformationen gehört, überwacht häufig Windows-Updates und analysiert Änderungen durch neue Patches, um neue Angriffsmethoden zu entdecken.
CISA fordert Unternehmen auf, Exchange Online Modern Auth zu übernehmen
Die U.S. Cybersecurity & Infrastructure Security Agency (CISA) hat Behörden und private Organisationen, die die Cloud-E-Mail-Plattform Microsoft Exchange nutzen, dringend aufgefordert, von den alten Authentifizierungsmodellen auf Modern Auth (Active Directory Authentication Library und OAuth 2.0 Token-basierte Authentifizierung) umzusteigen, um sich vor Passwort-Spray-Angriffen zu schützen.
BlackCat-Angreifer zielen auf Exchange-Server, um Active Directory-Informationen zu sammeln
Microsoft hat vor kurzem davor gewarnt, dass die Ransomware-Gruppe BlackCat jetzt Exchange-Server ins Visier nimmt, um Active Directory-Informationen zu sammeln, die zur Kompromittierung der Umgebung und zum Ablegen von dateiverschlüsselnden Nutzdaten benötigt werden. Neben der Aktualisierung von Exchange-Servern und der Überwachung des externen Netzwerkzugriffs empfiehlt Microsoft, dass Unternehmen ihre Sicherheitsvorkehrungen für Identitäten überprüfen.
Die Ransomware-Gruppe Vice Society greift die italienische Stadt Palermo an
Vice Society, das bekannte Schwachstellen auf ungepatchten Systemen ausnutzt - darunter auch die PrintNightmare-Schwachstelle -, hat sich zu einem Cyberangriff auf Palermo in Italien bekannt. Der Angriff verursachte einen großflächigen Ausfall von Online-Diensten.
Black Basta Gruppe arbeitet mit QBot Malware Operation zusammen, um Unternehmensumgebungen zu kompromittieren
Black Basta, eine neue Ransomware-Gruppe, hat schnell Erfolg bei der Kompromittierung von Unternehmensumgebungen gehabt, indem sie sich mit den Machern von QBot (auch bekannt als QuakBot) zusammengetan hat, einer Windows-Malware, die Bank- und Windows-Domain-Anmeldedaten stiehlt und dann Malware auf infizierten Geräten ablegt.