Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat beleuchtet das Semperis Research Team die identitätsbezogenen Aspekte des Einbruchs bei SolarWinds sowie die Angriffe auf ein Stromversorgungsunternehmen in Brasilien und ein Schulsystem in New York.
SolarWinds-Anhörungen zeigen Lücken in der Identitätssicherheit auf
Bei der ersten öffentlichen Anhörung des Kongresses zum Einbruch bei SolarWinds sagten Technologieführer von SolarWinds, Microsoft, FireEye und CrowdStrike vor dem Geheimdienstausschuss des Senats über die Faktoren aus, die zu dem Angriff geführt haben. Brad Smith, Präsident von Microsoft, erklärte, dass die Angreifer über lokale Systeme in die Systeme einiger Kunden eingedrungen sind, sich Zugangsdaten verschafft haben und dann zu Online-Diensten wie Office 365 vorgedrungen sind. Laut Kevin Mandia, CEO von FireEye, verwendeten die Angreifer auch gängige Methoden wie das Ausspähen von Passwörtern.
Sean Deuby, Director of Services bei Semperis, kommentierte in der Enterprise Security Tech, dass einige der Taktiken, die bei dem Einbruch angewandt wurden, "keine hochentwickelten, nur von Nationalstaaten angewandten Taktiken waren; es handelt sich um bewährte Methoden, die von allen bösartigen Akteuren allgemein verwendet werden, um in Active Directory in Organisationen auf der ganzen Welt einzudringen."
Angriff auf brasilianisches Stromversorgungsunternehmen kompromittiert AD
Die Darkside-Gruppe hat einen Ransomware-Angriff auf das brasilianische Stromversorgungsunternehmen Copel durchgeführt, indem sie sich Zugang zur CyberArk-Lösung für die Verwaltung privilegierter Zugriffe des Unternehmens verschafft hat. Die Angreifer behaupten, sensible Informationen gestohlen zu haben, darunter Netzwerkkarten, Backup-Schemata und -Zeitpläne sowie Domain-Zonen für die öffentliche Website und das Intranet von Copel. Sie behaupten auch, die Active Directory NTDS.dit Datei kompromittiert zu haben.
Active Directory Ziel eines Malware-Angriffs auf New Yorker Schulen
Ein Malware-Angriff auf die Victor Central Schools in New York verschlüsselte Daten und Systeme - einschließlich Active Directory - und zwang die Schule zu einer einwöchigen Schließung. Es wurden keine persönlichen oder finanziellen Daten kompromittiert; diese Informationen waren auf externen Servern gespeichert. Der Malware-Angriff wird derzeit vom Heimatschutzministerium und dem FBI untersucht.
Mehr Ressourcen
Möchten Sie die Verteidigung Ihres Active Directory gegen Cyberangriffe stärken? Sehen Sie sich unsere neuesten Ressourcen an.