:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/69/3269eeebf27d7b8351d3735f75fee835/0130368473v1.jpeg "Der Autor: Eugeny Malyutin ist Head of LLM bei Sumsub (Bild: Sumsub)")
:quality(80)/p7i.vogel.de/wcms/c8/23/c82308d39ba056b2e2806e160a7a5d37/0130998029v1.jpeg "Zwei Sicherheitslücken gefährden Samsung MagicINFO 9 Server. Eine davon wird bereits aktiv ausgenutzt. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/3b/423b6be5bae377d3225c8efeff74f860/0130839691v2.jpeg "NIS-2 betrifft nun auch Hersteller vernetzter Industrieanlagen. Maschinenbauer, die ihre Kunden nicht bei der Compliance unterstützen, riskieren sie zu verlieren. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/ab/d7ab758d53e1715c628d27dda3d9b308/0130832273v2.jpeg "Unkontrollierte VPN-Zugänge sind eine offene Tür für Angreifer. Privileged Access Management ersetzt VPN durch granulare Kontrolle und automatisierte Rechtevergabe. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/9c/189c0d22c297f44cbb4561dad9125b23/0130709162v1.jpeg "Cloudflare Mesh vernetzt KI-Agenten, Menschen und Multi-Cloud-Infrastruktur in einer privaten, verschlüsselten Fabric. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/6c/31/6c31db5fda2e2a3d8ad611af2d8f6514/0130849977v1.jpeg "kube-hunter scannt Kubernetes-Cluster aus Angreiferperspektive und deckt reale Zugriffspfade auf, die klassische Konfigurationsanalysen oft übersehen. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/eb/f9eb0ec3acf7efc9b0b695a9760acd9f/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht heißt. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/19/4f/194f7a7aacc5be512137e9903e7b9393/0130719515v2.jpeg "Für Zero Networks sind das Blockieren lateraler Bewegung sowie regulierter Zugriff und die schnelle Eindämmung von Bedrohungen besonders relevant, um NIS 2 umzusetzen. (Bild: © Sabbir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/29/e5297e45d3e48536e75a8e17432168bf/0130942356v2.jpeg "G Data, Ikarus und Securepoint gehen eine Partnerschaft ein. Geplant sind gemeinsame Managed Services und der Austausch von Threat Intelligence. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wiesbaden, 06.09.2021 (PresseBox) - Untersuchungen der jüngsten Angriffe auf Exchange Server mit Conti-Ransomware haben ergeben, dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen. Für die Schwachstellen in Microsoft Exchange wurden in Folge diverse kritische Updates während der letzten Monate veröffentlicht. ProxyShell ist eine Weiterentwicklung der ProxyLogon-Angriffsmethode. In den letzten Monaten hat sich der Exploit bei Ransomware-Angreifern zu einem der wichtigsten Werkzeuge entwickelt – auch bei denjenigen, die die neue LockFile-Ransomware einsetzen, die erstmals im Juli auftauchte.
Mit zunehmendem Wissen über dieser Angriffsmethode hat sich die Verweildauer der Cyberkriminellen vom Start bis hin zur endgültigen Aktivierung der Ransomware auf den Zielnetzwerken von Wochen auf Stunden verkürzt.
Schnelle „effiziente“ Angriffe
Bei einer von Sophos beobachteten ProxyShell-basierten Attacke gelang den Conti-Angreifern in weniger als einer Minute der Zugang zum Netzwerk des Opfers, inklusive der Einrichtung einer Remote-Web-Shell. Drei Minuten später installierten die Kriminellen eine zweite Backup-Web-Shell. Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt. Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 Terabyte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten.
Böse Hinterlassenschaft: 7 Hintertüren
Im Laufe des Einbruchs installierten die Conti-Angreifer nicht weniger als sieben Hintertüren im Netzwerk: zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities). Die früh installierten Web-Shells wurden hauptsächlich für den Erstzugang verwendet; Cobalt Strike und AnyDesk sind die primären Tools, die sie für den Rest des Angriffs einsetzten.
Weitere Technische Ausführungen von den Sophos Security-Spezialisten Sean Gallagher und Peter Mackenzie sind unter: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/
-
IT-Awards
Aktuelle Beiträge aus "IT-Awards"
-
Bedrohungen
Aktuelle Beiträge aus "Bedrohungen"
- Netzwerke
-
Plattformen
- Schwachstellen-Management
- Betriebssystem
- Server
- Endpoint
- Storage
- Physische IT-Sicherheit
- Verschlüsselung
- Allgemein
- Cloud und Virtualisierung
- Mobile Security
Aktuelle Beiträge aus "Plattformen" -
Applikationen
Aktuelle Beiträge aus "Applikationen"
-
Identity- und Access-Management
- Benutzer und Identitäten
- Authentifizierung
- Biometrie
- Smartcard und Token
- Access Control / Zugriffskontrolle
- Blockchain, Schlüssel & Zertifikate
- Zugangs- und Zutrittskontrolle
- Passwort-Management
- Allgemein
Aktuelle Beiträge aus "Identity- und Access-Management" -
Security-Management
- Compliance und Datenschutz
- Standards
- Sicherheits-Policies
- Risk Management / KRITIS
- Notfallmanagement
- Awareness und Mitarbeiter
- Sicherheitsvorfälle
- Allgemein
- Digitale Souveränität
Aktuelle Beiträge aus "Security-Management" -
Specials
Aktuelle Beiträge aus "Specials"
- eBooks
- Security Visionen 2026
- Zukunft der IT-Sicherheit 2024
- Kompendien
- Anbieter
- Cyberrisiken 2025
- Bilder
- CIO Briefing
-
IT Security Best Practices
Aktuelle Beiträge aus "IT Security Best Practices"
- Akademie
-
mehr...
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
06.09.2021
Angriffe mit Conti-Ransomware auf Exchange Server gehen weiter - und werden ständig effizienter
Wiesbaden, 06.09.2021 (PresseBox) - Untersuchungen der jüngsten Angriffe auf Exchange Server mit Conti-Ransomware haben ergeben, dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen.......
:quality(80):fill(fff,1)/cdn.pressebox.de/r/562dab8aa6a16684/attachments/12/49/44/thumbnail_1249441_720x460.jpg)