Für die Suche nach Inhalten geben Sie »Content:« vor den Suchbegriffen ein, für die Suche nach Orten geben Sie »Orte:« oder »Ort:« vor den Suchbegriffen ein. Wenn Sie nichts eingeben, wird in beiden Bereichen gesucht.

 

 

Carolyn Crandall, Ransomware und Active DirectoryZoom Button

Ein Kommentar von Carolyn Crandall, Chief Security Advocate bei Attivo Networks, Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

Carolyn Crandall, Ransomware und Active Directory

Carolyn Crandall, Ransomware und Active Directory

ALPHV BlackCat Ransomware ist äußerst raffiniert, da sie manuell über die Befehlszeile gesteuert wird, was es herkömmlichen Technologien schwer macht, diese Angriffen zu erkennen. BlackCat verwendet eine Vielzahl von Verschlüsselungsmodi, verschafft sich über laterale Bewegung administrative Rechte, um sich zwischen Computern zu verbreiten und andere Geräte zu verschlüsseln. Zudem löscht BlackCat Informationen, um eine Wiederherstellung zu verhindern. Diese Gruppe ist auch dafür bekannt, Daten zu stehlen, bevor sie Geräte verschlüsselt, und sie auf Data Leak Sites zu veröffentlichen, um den Druck auf ihre Opfer zu erhöhen.

Die Kompromittierung von Active Directory ist zum Standard-Angriffsvektor für #Ransomware Angriffe geworden und wurde zweifellos auch von dieser Ransomware genutzt, um die erforderliche Kontrolle über die angegriffene Domain zu erlangen. Active Directory ist die von Unternehmen am häufigsten genutzte Identitätsplattform und gibt Angreifern bei einer Kompromittierung die vollständige Kontrolle und die Möglichkeit, ihre Privilegien zu eskalieren, Sicherheitstools zu deaktivieren, sich lateral im Unternehmen zu bewegen und wertvolle Daten zu stehlen. Der Schutz von Active Directory wird derzeit weder von EDR Lösungen noch von solchen für das Identity Access Management abgedeckt. Diese konzentrieren sich darauf, den Zugriff zu ermöglichen, anstatt ihn zu verweigern. Um Active Directory wirklich zu schützen, müssen Unternehmen einen mehrgleisigen Ansatz verfolgen, der die Härtung, die Erkennung von Aufklärungs Aktivitäten und die Verhinderung der Kompromittierung von Domänen umfasst. Neuere IDR-Tools (Identity Detection and Response) sind zu einem unverzichtbaren Bestandteil des Sicherheits-Stacks geworden, um den Diebstahl und Missbrauch von Anmeldeinformationen sichtbar zu machen und zu erkennen.

Ein Angriff auf Active Directory funktioniert, indem Angreifer privilegierte Konten entdecken und dann Anmeldeinformationen wie Passwörter, Hashes und Kerberos-Tickets stehlen oder Brute Force Angriffe wie Passwort-Spray durchführen. Sobald ein Angreifer Accounts mit höheren Privilegien kompromittiert oder eine Schwachstelle in Active Directory gefunden hat, verwendet er Techniken wie Golden- oder Silver-Tickets und Domänenreplikation, um das AD zu übernehmen. Sobald dies geschehen ist, können Angreifer die damit verwalteten Systeme leicht kompromittieren, Hintertüren installieren, Sicherheitsrichtlinien ändern und die Ransomware schnell einsetzen.

Ausblick

Angreifer werden immer wieder neue Codes entwickeln, die darauf abzielen, die Abwehrsysteme von Endgeräten zu umgehen. RustyBuer und menschengesteuerte Ransomware sind Möglichkeiten, ein System zu kompromittieren und Hintertüren zu installieren, um ihren Angriff voranzutreiben. Der beste Schutz, abgesehen davon, dass man nicht auf unbekannte Links klickt und keine Makros aktiviert, ist die Installation von Sicherheitssoftware, die die laterale Bewegung eines Angreifers innerhalb des Netzwerks erkennen kann. Angreifer nutzen die Informationssuche, um ihre Ziele ausfindig zu machen und Anmeldedaten zu stehlen, um so ihre Berechtigungen zu erhöhen. 

Wir wissen, dass Ransomware-Angreifer versuchen, Active Directory auszunutzen, um die Kontrolle zu erlangen, die sie benötigen, um Systeme zu verschlüsseln, Sicherheitseinstellungen zu ändern, Backups zu löschen und ihre Spuren zu verwischen. Die beste Verteidigung gegen diese und jede andere Form von Ransomware oder bösartiger Malware besteht darin, laterale Bewegungen zwischen Systemen zu verhindern und Active Directory zu schützen. Herkömmliche Sicherheitskontrollen bieten dieses Maß an Schutz nicht. Unternehmen müssen auf IDR-Lösungen zurückgreifen, um Anmeldedaten und Active Directory-Objekte zu schützen. Außerdem können sie ihre Angriffsfläche mit Tools zur Erkennung von Sicherheitsrisiken reduzieren, die ein Angreifer ausnutzen würde. 

Active Directory Kontrollen zur Erkennung von #Live #Angriffen sind ein Muss, um Angreifer zu erkennen, die versuchen, massenhafte Kontoänderungen, Passwort Spray Angriffe, gefährliche Delegierung oder Domänenreplikationsaktivitäten durchzuführen. Wenn Kontrollen für die Identitätssicherheit vorhanden sind, kommt der Angreifer nicht weit, unabhängig von dem Code oder der Technik, die er zu benutzen versucht.

Content bei Gütsel Online …

 
Gütsel
Termine und Events

Veranstaltungen
nicht nur in Gütersloh und Umgebung

Dezember 2024
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
293031
Februar 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
232425262728
September 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
282930
November 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30
Dezember 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28293031
Februar 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
September 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
27282930
Oktober 2026
So Mo Di Mi Do Fr Sa
123
45678910
11121314151617
18192021222324
25262728293031
November 2042
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30