Semperis Forschungsteam

Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.

In diesem Monat beleuchtet das Semperis Research Team identitätsbezogene Cyberangriffe, darunter den Missbrauch der Schwachstellen ProxyShell und PetitPotam durch LockFile, die zunehmenden LockBit 2.0-Angriffe und die sich ausweitenden Hive-Exploits.

LockFile-Angreifer beschleunigen die Nutzung von ProxyShell Exchange Server und PetitPotam-Schwachstellen

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) warnte, dass LockFile-Angreifer aktiv die ProxyShell Exchange Server-Schwachstelle und die PetitPotam-Schwachstelle ausnutzen, um sich Zugang zu Active Directory und den dazugehörigen Netzwerken zu verschaffen und anschließend Malware zu verbreiten.

Mehr lesen

LockBit 2.0 Angriffe steigen an

Die Zunahme von LockBit 2.0-Angriffen, zu denen auch ein Einbruch in die Systeme des globalen Beratungsunternehmens Accenture gehört, veranlasste das Australian Cyber Security Centre zu einer Warnung vor einem "starken und signifikanten Anstieg" der gemeldeten Angriffe. LockBit 2.0 verschlüsselt automatisch Geräte in Windows-Domänen, indem es die Gruppenrichtlinien von Active Directory missbraucht.

Mehr lesen

Hive-Übernahme des Gesundheitssystems löst FBI-Alarm aus

Das FBI hat eine Warnung und eine Liste von Indicators of Compromise (IOCs) veröffentlicht, die mit der Ransomware Hive in Verbindung gebracht werden, nachdem die Gruppe das Memorial Health System in Ohio und Virginia lahmgelegt hat. Neben verschiedenen anderen Taktiken verwendet Hive Fernverwaltungssoftware wie ConnectWise, um Systeme zu infiltrieren und sich zu etablieren, und setzt dann Tools wie ADRecon ein, um die Active Directory-Umgebung abzubilden.

Mehr lesen

Nokia-Tochter leidet unter Conti-Ransomware-Angriff

SAC Wireless, ein Tochterunternehmen von Nokia, wurde von einem Ransomware-Angriff der Conti-Gruppe heimgesucht, der in das Netzwerk eindrang, Daten stahl und die Systeme verschlüsselte. Der Angriff veranlasste das Unternehmen, die Richtlinien für den Systemzugriff zu verschärfen und die Anforderungen für die Multi-Faktor-Authentifizierung (MFA) zu erweitern, neben anderen Abhilfemaßnahmen.

Mehr lesen

Böser Verdacht bei Angriff auf Krankenhaus in Nevada

Das University Medical Center Southern Nevada meldete einen Ransomware-Angriff, der Analysten zufolge das Werk der REvil-Gruppe sein könnte, die verschiedene Taktiken anwendet, um in Systeme einzudringen, einschließlich der Ausnutzung von Administratorrechten.

Mehr lesen

Crytek Spieleentwickler meldet Ransomware-Angriff auf Egregor

Die Ransomware-as-a-Service-Gruppe Egregor ist in die Informationssysteme des Spieleentwicklers Crytek eingedrungen, hat Daten verschlüsselt und Kundeninformationen gestohlen. Egregor, das für die berüchtigten Angriffe auf die Einzelhändler Barnes & Noble und Kmart verantwortlich war, nutzt Fehlkonfigurationen im Active Directory aus, um in Netzwerke einzudringen.

Mehr lesen

BazaCall-Bedrohungen nutzen Telefonzentralen zur Verbreitung von Malware

Microsoft warnt verstärkt vor BazaCall-Bedrohungen, die Opfer dazu verleiten, in einem betrügerischen Telefonzentrum anzurufen und die Ransomware BazaLoader herunterzuladen, wobei sie von menschlichen Mitarbeitern Schritt für Schritt angeleitet werden. Nach dem ersten Einbruch verwenden die Angreifer ADFind (ein kostenloses Befehlszeilen-Tool zur Erkennung von ADs), um die Systeme der Opfer auszuspähen.

Mehr lesen

Mehr Ressourcen