Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
Diesen Monat berichtet das Semperis Research Team über neue Angriffe von LockBit auf öffentliche Einrichtungen in Kalifornien und Portugal, einen Hive-Angriff auf ein Krankenhaus in Louisiana und einen BlackCat-Angriff auf den kolumbianischen Energieversorger EPM.
LockBit behauptet Angriff auf den Hafen von Lissabon
Die Ransomware-Gruppe LockBit hat sich zu einem Angriff auf den Hafen von Lissabon in Portugal am Weihnachtstag bekannt, bei dem zwar Daten kompromittiert wurden, der Betrieb des Hafens aber nicht beeinträchtigt wurde, obwohl die offizielle Website des Hafens offline ging. Der Hafen, der als kritische Infrastruktur gilt, ist einer der am häufigsten angefahrenen Häfen in Europa und bedient Containerschiffe, Kreuzfahrtschiffe und Freizeitboote. LockBit hat sich kürzlich auch zu einem Angriff auf das kalifornische Finanzministerium bekannt. Die LockBit-Gruppe verwendet verschiedene Taktiken, Techniken und Verfahren (TTPs), um Opferorganisationen zu kompromittieren, einschließlich des Missbrauchs von AD-Gruppenrichtlinien, um Geräte in Windows-Domänen zu verschlüsseln.
Hive Ransomware-Gruppe behauptet Angriff auf Krankenhaus in Louisiana
Die Ransomware-Gruppe Hive hat die Verantwortung für einen Ransomware-Angriff auf das Lake Charles Memorial Health System in Louisiana im Oktober übernommen, bei dem die Daten von etwa 270.000 Patienten kompromittiert wurden. Neben anderen Taktiken verwendet Hive Remote-Admin-Software, um in Systeme einzudringen und dort zu verbleiben, und setzt dann Tools wie ADRecon ein, um die AD-Umgebung abzubilden.
BlackCat Ransomware-Gruppe trifft kolumbianischen Energieversorger EPM
Ein BlackCat/ALPHV-Angriff auf den kolumbianischen Energieversorger EPM legte den Betrieb eines der größten öffentlichen Energie-, Wasser- und Gasversorger des Landes lahm. Microsoft hat kürzlich davor gewarnt, dass die Ransomware-Gruppe BlackCat Exchange-Server angreift, um Active Directory-Informationen zu sammeln, die zur Kompromittierung der Umgebung und zum Absetzen von dateiverschlüsselnden Nutzdaten benötigt werden.
Weitere Ressourcen
