Cyberangriffe auf Active Directory sind auf dem Vormarsch und setzen AD-, Identitäts- und Sicherheitsteams unter Druck, die sich ständig verändernde, auf AD ausgerichtete Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, AD-Angriffe besser zu verstehen und sich davor zu schützen, bietet das Semperis Research Team diese monatliche Zusammenfassung der jüngsten Cyberangriffe, bei denen AD zur Einführung oder Verbreitung von Malware genutzt wurde.
In diesem Monat beleuchtet das Semperis Research Team identitätsbezogene Cyberangriffe, darunter die Eskalation russischer Cyberangriffe auf US-Bundesbehörden, einen staatlich gesponserten Angriff auf eine US-Kommunalverwaltung, bei dem Fehler in einer Fortinet-Appliance ausgenutzt wurden, den Colonial Pipeline-Angriff, der auf Windows-Schwachstellen abzielte, den MountLocker Ransomware-Angriff, bei dem Windows Active Directory APIs ausgenutzt wurden, und mehr.
Microsoft berichtet, dass die russischen Cyberkriminellen hinter dem SolarWinds-Angriff ihre Bemühungen verstärken
In einem Blogbeitrag von Tom Burt, Vizepräsident von Microsoft, wird davor gewarnt, dass die russischen Cyberkriminellen, die hinter dem SolarWinds-Angriff stecken, ihre Bemühungen ausweiten und einen Angriff starten, der Zugang zu den E-Mail-Konten von etwa 150 Organisationen über Constant Contact gewährt, einem E-Mail-Marketingdienst, der von der US-Behörde für internationale Entwicklung (USAID) genutzt wird.
FBI: APT-Cyberkriminelle nutzten Fortinet-Fehler für Angriffe auf US-Behörden
Das FBI berichtet, dass staatlich gesponserte Advanced Persistent Threats (APT) Schwachstellen in einer Fortinet-Appliance ausgenutzt haben, um in die Webserver einer lokalen US-Regierungsorganisation einzudringen. Nachdem sie sich Zugang verschafft hatten, bewegten sich die Cyberkriminellen seitlich durch das Netzwerk, um neue Benutzerkonten für Domain-Controller, Server und Workstations zu erstellen.
Die Angreifer von Colonial Pipeline hatten es auf Windows-Schwachstellen abgesehen, darunter AD
Der Ransomware-Angriff auf Colonial Pipeline, bei dem 5.500 Meilen Treibstoffpipeline stillgelegt wurden, lieferte einen weiteren Beweis dafür, dass die für den Angriff verantwortliche Ransomware-Gruppe DarkSide bevorzugt auf Windows-Schwachstellen abzielt, wie der Director of Services von Semperis, Sean Deuby, in einem Bericht über Cyber Security Asean schreibt.
Conti-Angriff auf die irischen Gesundheitsdienste nutzte Zugang zu Windows-Domänen-Anmeldeinformationen
Conti, die Gruppe, die für den Cyberangriff auf die irischen Gesundheitsdienste verantwortlich war, wandte einen bewährten Ansatz an, indem sie Phishing-Angriffe nutzte, um Trojaner zu installieren, die einen Fernzugriff auf die infizierten Rechner ermöglichten, und diesen Zugriff nutzte, um die Anmeldedaten der Windows-Domäne anzuzapfen und dann Ransomware im gesamten Netzwerk zu verteilen.
MountLocker Ransomware nutzt Windows Active Directory APIs aus
Der Ransomware-as-a-Service MountLocker verwendet jetzt Windows Active Directory APIs, um in Netzwerke einzudringen, so ein Bericht von Bleeping Computer. Nachdem sie die API verwendet haben, um sich mit den AD-Diensten des Opfers zu verbinden, können MountLocker-Angreifer Geräte in der kompromittierten Domäne finden und sie mit gestohlenen Domänen-Anmeldedaten verschlüsseln.
CISA fordert eine Überprüfung der Berechtigungen zur Bekämpfung der FiveHands-Ransomware-Variante
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat davor gewarnt, dass eine relativ neue Ransomware-Variante namens FiveHands Schwachstellen in der Microsoft-Technologie ausnutzt. Die CISA empfiehlt Präventivmaßnahmen wie die Einführung von minimalen Kontoprivilegien und die Aktivierung der Multi-Faktor-Authentifizierung für privilegierte Konten.
Ransomware-Angriff in Nordkalifornien erforderte Wiederherstellung von AD
Das IT-Team von Yuba County, Kalifornien, berichtete ausführlich über die Wiederherstellung nach einem Ransomware-Angriff. Dazu gehörte auch die Wiederherstellung von Active Directory, nachdem die Cyberkriminellen ein betrügerisches Admin-Konto für Unternehmen erstellt und 50 PCs und 100 Server verschlüsselt hatten.
Analyst legt Ergebnisse vor, wonach fehlerhafte Berechtigungen zur Verletzung der medizinischen Aufzeichnungen von Veteranen führten
Ein Analyst hat behauptet, dass bis zu 200.000 medizinische Daten von Patienten der US-Veteranenbehörde durch eine Ransomware-Bande kompromittiert worden sein könnten, die eine von einem Anbieter offen gelassene Datenbank ausnutzte, so dass jeder die Daten ohne administrative Zugangsdaten bearbeiten und Passwörter und Abrechnungsinformationen offenlegen konnte.
Bericht: Riskante Exchange-Operationen führen die Liste der Azure Active Directory-Bedrohungserkennung an
Ein neuer Bericht über die Erkennung von Bedrohungen für Azure Active Directory und Office 365 hat riskante Exchange-Operationen als die häufigsten Bedrohungen identifiziert und zeigt die Herausforderungen bei der Verwaltung von Berechtigungen in hybriden Identitätsumgebungen auf.
Zu den Präventivmaßnahmen von Bose nach dem Angriff gehörten das Zurücksetzen von Passwörtern und eine verstärkte Überwachung von Kontoänderungen.
Nachdem der Hersteller von Audiogeräten Bose von einer Ransomware betroffen war, die einige Kundendaten kompromittierte, hat er Präventivmaßnahmen gegen künftige Angriffe ergriffen. Dazu gehören das Zurücksetzen von Passwörtern für alle Endbenutzer und privilegierten Konten, eine verbesserte Überwachung und Protokollierung, um künftige Änderungen an Konten zu erkennen, sowie geänderte Zugangsschlüssel für alle Servicekonten.
Mehr Ressourcen
Möchten Sie die Verteidigung Ihres Active Directory gegen Cyberangriffe stärken? Sehen Sie sich unsere neuesten Ressourcen an.
