Cybersecurity-Bedrohungshinweis: Zunehmende Sorge aufgrund der ALPHV Ransomware Group

Hinweis: Dieser Beitrag wurde ursprünglich aufSmarterMSP veröffentlicht.

In den letzten Wochen kam es zu einem Anstieg von Cyberangriffen, die der Ransomware-Gruppe ALPHV zugeschrieben werden. Zu den jüngsten Aktivitäten der Gruppe zählen Angriffe auf Tipalti, MGM Resorts, Caesars Entertainment, Clorox, McClaren Health Care, Fidelity National Financial, Five Guys, Estée Lauder und NCR. Dieser Cybersecurity-Bedrohungshinweis erläutert, wie solide Cybersecurity-Maßnahmen vor Ransomware-Angriffen schützen können.

Welcher Art ist die Bedrohung?

Die Ransomware-Gruppe ALPHV tauchte erstmals im November 2021 in der Ransomware-Szene auf. Nach Angaben des FBI hat die ALPHV/BlackCat-Bande zwischen November 2021 und März 2022 60 Unternehmen und andere öffentliche Einrichtungen kompromittiert. Ihnen werden einige der aufsehenerregendsten Angriffe der letzten Zeit zugeschrieben.

Warum sollte man aufmerksam sein?

Der Erfolg der ALPHV/BlackCat-Gruppe, Systeme in stark regulierten Branchen zu kompromittieren, gibt Anlass zur Sorge über das Potenzial für schwere finanzielle und rufschädigende Auswirkungen. Im Gegensatz zu vielen anderen Ransomware-Bedrohungen wurde ALPHV mit Rust entwickelt. Diese Programmiersprache ist für ihre schnelle Leistung und plattformübergreifenden Fähigkeiten bekannt. Dies hat dazu geführt, dass im Dezember 2021 und Januar 2022 sowohl Linux- als auch Windows-Varianten beobachtet wurden.

Wie hoch ist Risiko einer Exposition?

Die Gruppe setzt auf bewährte Techniken, um in das Netzwerk eines Opfers einzudringen, z. B. das Ausnutzen allgemeiner Schwachstellen in Netzwerkinfrastrukturgeräten wie VPN-Gateways und den Missbrauch von Zugangsdaten über ungeschützte RDP-Hosts (Remote Desktop Protocol). Es wurde beobachtet, dass sie anschließend PowerShell verwenden, um die Sicherheitseinstellungen von Windows Defender im gesamten Netzwerk des Opfers zu ändern und die Ransomware-Binärdatei mithilfe von PsExec auf mehreren Hosts zu starten.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Sicherheitsmaßnahmen:

• Bieten Sie Schulungen zur Stärkung des Risikobewusstseins an, die browserbasierte Angriffe, wie gefälschte Werbung, umfassen. Diese Angriffe führen zum Eindringen von Ransomware und zum Stehlen von Informationen, die später das Eindringen von Ransomware ermöglichen können.
• Implementieren Sie Regeln zur Reduzierung der Angriffsfläche rund um Skriptdateien wie .js und .vbs. Hinweis: Einige Angriffe können in Form von .ISO-Dateien eintreffen, die Markierung „Mark of the Web“ geht verloren und die Regeln zur Reduzierung der Angriffsfläche sind nicht in der Lage, die Dateien aus dem Internet zu erkennen.
• Nutzen Sie rund um die Uhr eine umfassende Endpunkterkennung und -reaktion, um sich vor bösartigen Angriffen zu schützen. Ransomware-Angriffe landen in der Regel weiter unten in der Kill-Chain, wenn sie bei Endpunkten beginnen, die nicht unter die Reichweite des Endpunktschutzes fallen.
• Setzen Sie Protokollierung ein, um sicherzustellen, dass Sie Telemetrie erfassen – insbesondere für Geräte und Dienste, die keinen Endpunkt-Agenten unterstützen, einschließlich VPN, Geräteanmeldung und Serversoftware für Anwendungen, die keine Endpunkt-Telemetrie erzeugen, wie Citrix, IIS und Cloud-Dienste.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://www.bleepingcomputer.com/news/security/tipalti-investigates-claims-of-data-stolen-in-ransomware-attack
• https://www.cybersecuritydive.com/news/tipalti-investigates-ransomware-supply-chain-attack/701516/

Wenn Sie Fragen zu dieser Cybersecurity Threat Advisory haben, wenden Sie sich bitte an unser Security Operations Center.