ALPHV BlackCat Ransomware und Active Directory als Haupt-Angriffsvektor für Ransomware-Angriffe

Carolyn_Crandall

Ein Kommentar von Carolyn Crandall, Chief Security Advocate bei Attivo Networks

ALPHV BlackCat Ransomware ist äußerst raffiniert, da sie manuell über die Befehlszeile gesteuert wird, was es herkömmlichen Technologien schwer macht, diese Angriffen zu erkennen. BlackCat verwendet eine Vielzahl von Verschlüsselungsmodi, verschafft sich über laterale Bewegung administrative Rechte, um sich zwischen Computern zu verbreiten und andere Geräte zu verschlüsseln. Zudem löscht BlackCat Informationen, um eine Wiederherstellung zu verhindern. Diese Gruppe ist auch dafür bekannt, Daten zu stehlen, bevor sie Geräte verschlüsselt, und sie auf Data Leak Sites zu veröffentlichen, um den Druck auf ihre Opfer zu erhöhen.

Die Kompromittierung von Active Directory ist zum Standard-Angriffsvektor für Ransomware-Angriffe geworden und wurde zweifellos auch von dieser Ransomware genutzt, um die erforderliche Kontrolle über die angegriffene Domain zu erlangen. Active Directory ist die von Unternehmen am häufigsten genutzte Identitätsplattform und gibt Angreifern bei einer Kompromittierung die vollständige Kontrolle und die Möglichkeit, ihre Privilegien zu eskalieren, Sicherheitstools zu deaktivieren, sich lateral im Unternehmen zu bewegen und wertvolle Daten zu stehlen. Der Schutz von Active Directory wird derzeit weder von EDR-Lösungen noch von solchen für das Identity Access Management abgedeckt. Diese konzentrieren sich darauf, den Zugriff zu ermöglichen, anstatt ihn zu verweigern. Um Active Directory wirklich zu schützen, müssen Unternehmen einen mehrgleisigen Ansatz verfolgen, der die Härtung, die Erkennung von Aufklärungs-Aktivitäten und die Verhinderung der Kompromittierung von Domänen umfasst. Neuere IDR-Tools (Identity Detection and Response) sind zu einem unverzichtbaren Bestandteil des Sicherheits-Stacks geworden, um den Diebstahl und Missbrauch von Anmeldeinformationen sichtbar zu machen und zu erkennen.

Ein Angriff auf Active Directory funktioniert, indem Angreifer privilegierte Konten entdecken und dann Anmeldeinformationen wie Passwörter, Hashes und Kerberos-Tickets stehlen oder Brute-Force-Angriffe wie Passwort-Spray durchführen. Sobald ein Angreifer Accounts mit höheren Privilegien kompromittiert oder eine Schwachstelle in Active Directory gefunden hat, verwendet er Techniken wie Golden- oder Silver-Tickets und Domänenreplikation, um das AD zu übernehmen. Sobald dies geschehen ist, können Angreifer die damit verwalteten Systeme leicht kompromittieren, Hintertüren installieren, Sicherheitsrichtlinien ändern und die Ransomware schnell einsetzen.

Ausblick

Angreifer werden immer wieder neue Codes entwickeln, die darauf abzielen, die Abwehrsysteme von Endgeräten zu umgehen. RustyBuer und menschengesteuerte Ransomware sind Möglichkeiten, ein System zu kompromittieren und Hintertüren zu installieren, um ihren Angriff voranzutreiben. Der beste Schutz, abgesehen davon, dass man nicht auf unbekannte Links klickt und keine Makros aktiviert, ist die Installation von Sicherheitssoftware, die die laterale Bewegung eines Angreifers innerhalb des Netzwerks erkennen kann. Angreifer nutzen die Informationssuche, um ihre Ziele ausfindig zu machen und Anmeldedaten zu stehlen, um so ihre Berechtigungen zu erhöhen.

Wir wissen, dass Ransomware-Angreifer versuchen, Active Directory auszunutzen, um die Kontrolle zu erlangen, die sie benötigen, um Systeme zu verschlüsseln, Sicherheitseinstellungen zu ändern, Backups zu löschen und ihre Spuren zu verwischen. Die beste Verteidigung gegen diese und jede andere Form von Ransomware oder bösartiger Malware besteht darin, laterale Bewegungen zwischen Systemen zu verhindern und Active Directory zu schützen. Herkömmliche Sicherheitskontrollen bieten dieses Maß an Schutz nicht. Unternehmen müssen auf IDR-Lösungen zurückgreifen, um Anmeldedaten und Active Directory-Objekte zu schützen. Außerdem können sie ihre Angriffsfläche mit Tools zur Erkennung von Sicherheitsrisiken reduzieren, die ein Angreifer ausnutzen würde.

Active Directory-Kontrollen zur Erkennung von Live-Angriffen sind ein Muss, um Angreifer zu erkennen, die versuchen, massenhafte Kontoänderungen, Passwort-Spray-Angriffe, gefährliche Delegierung oder Domänenreplikationsaktivitäten durchzuführen. Wenn Kontrollen für die Identitätssicherheit vorhanden sind, kommt der Angreifer nicht weit, unabhängig von dem Code oder der Technik, die er zu benutzen versucht.