Die Entlarvung der D0nut-Erpressergruppe: Ein tiefer Einblick in Schwachstellen der Cybersicherheit und Gegenmaßnahmen

Analyse der Achillesferse der Cybersicherheit anhand des Angriffs der Erpressergruppe D0nut

Die Cybersicherheitslandschaft ist ein ständiges Schlachtfeld, auf dem Angreifer unermüdlich nach Schwachstellen, den sogenannten Achillesfersen der Systeme, suchen, um sich unbefugten Zugang zu verschaffen. Die Erpressergruppe D0nut ist ein Beispiel dafür, indem sie auf ungepatchte Netzwerke, Server, veraltete Betriebssysteme und Nutzer ohne Multi-Faktor-Authentifizierung (MFA)abzielt.

Bei einem bestimmten Ransomware-Angriff wandte die D0nut-Gruppe eine doppelte Erpressungstaktik an, indem sie die Daten eines Opfers nicht nur verschlüsselte, sondern auch exfiltrierte, um einen größeren Einfluss auf die Lösegeldforderungen zu haben. In diesem Fall ging es um kompromittierte Rechner und Nutzer, wobei Rechner1 aufgrund eines fehlenden MFA-Schutzes der Ausgangspunkt des Angriffs war, was auf einen entscheidenden menschlichen Fehler hinweist. Der Angreifer nutzte diese Lücke aus, bewegte sich seitlich durch das Netzwerk und kompromittierte weitere Rechner.

Zu den wichtigsten Schwachstellen, die bei diesem Angriff ausgenutzt wurden, gehörten ungeschützte Rechner mit Internetzugang und die Ausnutzung weniger überwachter Konten von Auftragnehmern, insbesondere ein “Schatten-Admin”-Konto. Da diese Konten sehr privilegiert und schwer zu überwachen sind, stellen sie ein attraktives Ziel für Angreifer dar.

Um solchen Bedrohungen zu begegnen, empfiehlt Silverfort mehrere Strategien:

  1. Schutz von Computern mit Internetzugang durch MFA: Implementiere MFA auf allen Computern mit Internetzugang, um unbefugten Zugriff zu verhindern.
  2. Verwendung von SIEM zur Überwachung von verweigerten MFAs: Der Einsatz von Security Information and Event Management Systemen, um fehlgeschlagene MFA-Versuche zu erkennen und darauf zu reagieren.
  3. Schutz von Dienstkonten: Einsatz von Zugriffsmanagement und KI-gesteuerten Risiko-Engines zur Überwachung und Kontrolle von Servicekonten.
  4. Minderung der Risiken für Schattenadministratoren: Identifizierung und Verwaltung von Schatten-Admin-Konten, entweder durch Einschränkung ihrer Rechte oder durch Schutz mit MFA.

Diese Fallstudie unterstreicht, wie wichtig es für Unternehmen ist, Sicherheitslücken rechtzeitig zu erkennen und zu beheben. Die sich entwickelnden Taktiken von Gruppen wie D0nut erinnern uns daran, dass Wachsamkeit und proaktive Sicherheitsmaßnahmen in der heutigen digitalen Landschaft unerlässlich sind.

Quelle: Wie eine Donut-Erpressergruppe die Achillesferse der Cybersicherheit ins Visier nimmt

Post teilen: