Barracuda full logo

Wie Barracuda Managed XDR Unternehmen bei Cyberangriffen im Zusammenhang mit dem Nahostkonflikt schützt

Themen:
6. März. 2026
|
Merium Khalid

Aktive Überwachung sich entwickelnder Bedrohungen, proaktive Bedrohungssuche in Kundenumgebungen, kontinuierlich aktualisierte Indikatoren für Kompromittierung (IoCs) und vieles mehr.

Die wichtigsten Erkenntnisse

  • Das globale SOC von Barracuda Managed XDR verzeichnete am 25. Februar, kurz vor Beginn des Konflikts, einen zehnfachen Anstieg des bösartigen Netzwerkverkehrs vom Iran in die Vereinigten Staaten.
  • Das SOC-Team befindet sich in erhöhter Alarmbereitschaft und schützt seine Kunden vor den sich schnell entwickelnden Risiken.
  • Kunden wird außerdem empfohlen, die Sicherheitsmaßnahmen zur Risikominimierung zu verstärken.

Kurz vor Beginn des Konflikts im Nahen Osten stellte das globale Security Operations Center (SOC) von Barracuda Managed XDR einen deutlichen Anstieg der Cyberaktivitäten fest, mit einem zehnfachen Anstieg des bösartigen Datenverkehrs aus dem Iran in die Vereinigten Staaten. Dieser Anstieg zeigt die intensive und weithin berichtete Cyberaktivität zwischen dem Iran, seinen Gegnern, deen Verbündeten und anderen Ländern. Die Bedrohungen entwickeln sich immer weiter.

Zum Schutz der Kunden arbeitet das SOC-Team derzeit in erhöhter Alarmbereitschaft und führt aktiv Bedrohungsüberwachung und proaktive Bedrohungssuche in den Kundenumgebungen durch. 

Überwachung und praktische Maßnahmen

Das SOC überwacht weiterhin die Bedrohungslage und setzt je nach Entwicklung der Situation zusätzliche Schutzmaßnahmen ein. 

Das SOC integriert aktiv alle verifizierten bösartigen Bedrohungen, die von iranischen Cyberakteuren stammen oder mit ihnen in Verbindung stehen – wie etwa Domains, IP-Adressen und URLs – in seine Threat-Intelligence-Plattform. Die Plattform für Bedrohungsanalysen enthält bereits rund 14 Milliarden Indikatoren für Kompromittierung, darunter auch solche im Zusammenhang mit dem aktuellen Nahostkonflikt.

Kundenumgebungen werden gescannt, sobald eine neue Bedrohung erkannt wird.

Die Sicherheitsregeln und Erkennungsmechanismen für die Endpoint Detection and Response (EDR)-Lösung von BARRACUDA Managed XDR, die über SentinelOne bereitgestellt wird, werden kontinuierlich mit den neuesten Daten aktualisiert.

Kunden, die die SentinelOne-Funktion verwenden, sollten erwägen, die Regeln der Platform Detection Library zu aktivieren, falls sie dies noch nicht getan haben, um die Abdeckung weiter zu erweitern. 

Die folgenden EDR-Regeln sollten vor derzeit bekannten iranischen Cyberangriffen schützen:

 

Bedrohungskategorie

Regelname

Beschreibung

MuddyWater

Möglicher MuddyWater-DLL-Fehler, der mit dem Sideloading des Audiotreibers übereinstimmt

Erkennt eine dynamische Linkbibliothek (DLL), die in einer von der Cyberspionagegruppe MuddyWater verwendeten Weise geschrieben wurde.

Dumping von Zugangsdaten

Verdächtige Taskerstellung für Zugangsdaten-Harvesting

Erkennt ein Ereignis zur Aufgabenerstellung, das Tools zum Diebstahl von Zugangsdaten ausführt

 

Python-basiertes Tool zur Netzwerkausbeutung

Erkennt Python-basierte Hacking-Tools, die für laterale Bewegungen und Post-Exploitation-Aktivitäten verwendet werden.

 

Potenzielle LSASS-Dumping-Tools

Erkennt das Vorhandensein gängiger Tools, die zum Dumpen von Zugangsdaten im Local Security Authority Subsystem Service (LSASS) verwendet werden

 

Zugangsdaten-Dumping über Schattenkopien

Erkennt das Dumping von Zugangsdaten über Schattenkopien

 

Interaktives NTDS-Harvesting über VSS

Erkennt vom Nutzer initiierte Versuche, NTDS.dit über den Volume Shadow Copy Service (VSS) zu erfassen.

 

Zwischengespeichertes Dumping von Domain-Zugangsdaten

Erkennt die Auflistung zwischengespeicherter Zugangsdaten mithilfe von cmdkey.exe

Tunnelbau und Fernzugriff

Ngrok-Domain wird kontaktiert

Erkennt DNS für Ngrok-Domains

 

Einrichtung eines persistenten Cloudflare-Tunnels erkannt

Erkennt den Aufbau eines persistenten Cloudflare-Tunnels

 

Anomales Verfahren zur Initiierung des Cloudflare-Tunnel-Verkehrs

Erkennt ungewöhnliche Prozesse beim Aufbau eines Cloudflare-Tunnels

Sammlung und Exfiltration

Keylogging-Skript über PowerShell

Erkennt PowerShell mithilfe von Funktionen, die für Keylogging verwendet werden könnten

 

Info-Diebstahl im Chrome-Browser über Remote-Debugging

Erkennt Remote-Debugging auf Chrome-Browsern, die für das Sammeln von Zugangsdaten verwendet werden

 

Versuch des Zugriffs auf Browser-Zugangsdaten und Cookie-Daten

Erkennt Zugriffsversuche mit Zugangsdaten und Cookies

PowerShell/Skriptmissbrauch

PowerShell-Skriptausführung über zeitbasiertes ganzzahliges IPv4

Erkennt PowerShell-Ausführungen, die Remote-Skripte ausführen, während zeitbasiertes IPv4 verwendet wird.

 

Verdächtige Nutzung von .NET Reflection über PowerShell

Erkennt .NET-Reflexionen aus PowerShell-Skripten

 

Kodierte PowerShell, die den Download über die Befehlszeile startet

Erkennt kodierte PowerShell-Befehle, die einen Download starten

Verteidigungsumgehung, Auswirkungen, Entdeckung

Potenzielles DLL-Sideloading im PerfLogs-Verzeichnis

Erkennt DLL-Sideloading im PerfLogs-Verzeichnis

 

Versuch zur Datenlöschung auf der Festplatte über Dd Utility

Erkennt die Verwendung des Dienstprogramms „Dataset Definition“ (dd) zum Löschen einer Festplatte

 

Manipulation der Bootkonfiguration über BCDEdit

Erkennt Änderungen der Startkonfigurationsdaten (BCD), um Unterbrechungen über BCDEdit zu maximieren

 

Erstellung einer Active Directory-Reconnaissance-Datei mit BloodHound

Erkennt die Ausführung von BloodHound und alternativen Tools

Empfohlene Sicherheitsmaßnahmen für alle Unternehmen

Neben dem umfassenden, 24/7 verfügbaren und widerstandsfähigen Cyberschutz, den eine Sicherheitslösungen wie BARRACUDA Managed XDR bietet, gibt es praktische Schritte, die Unternehmen unternehmen können, um ihre Cyberresilienz in Zeiten erhöhten Risikos zu steigern. Dazu gehören: 

Netzwerksicherheit

  • Implementieren Sie eine länderspezifische Sperrung auf der Firewall für Regionen, in denen Ihr Unternehmen keine Geschäftsbeziehungen unterhält.
  • Deaktivieren Sie die öffentliche Implementierungen des Remote Desktop Protocol (RDP), erzwingen Sie eine mehrstufige Authentifizierung für alle Fernzugriffe und überwachen Sie die Protokolle auf fehlgeschlagene und ungewöhnliche Anmeldeversuche Sperren Sie Benutzer nach drei bis fünf fehlgeschlagenen Versuchen und ersetzen Sie RDP unter Umständen durch eine virtuelle Desktop-Infrastruktur (VDI) anstelle von direktem RDP zu.
  • Überprüfen Sie, ob es ungenutzte Fernzugriffsports gibt und deaktivieren Sie diese, wenn sie nicht verwendet werden.
  • Implementieren Sie eine Netzwerksegmentierung, um seitliche Bewegungen einzuschränken.
  • Verwenden Sie privilegierte Zugriffsarbeitsplätze (PAWs) für administrative Aufgaben

Firewall-Einstellungen

  • Überprüfen Sie alle eingehenden und ausgehenden Firewall-Regeln.
  • Entfernen Sie alle Regeln, die auf „alle zulassen“ gesetzt sind 
  • Dokumentieren und rechtfertigen Sie alle externen Zugriffsregeln
  • Besonderes Augenmerk sollte auf die Regeln gelegt werden, die den Zugriff aus fremden IP-Bereichen ermöglichen.

Passwort-Richtlinien

  • Erzwingen Sie die Verwendung von Passwörtern mit mindestens 14 Zeichen.
  • Erforderliche Komplexität: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen
  • Verhindern Sie die Wiederverwendung von Passwörtern und erwägen Sie, Passwort-Updates alle 60 bis 90 Tage durchzusetzen.

Weitere wichtige Maßnahmen

  • Software-Updates priorisieren
  • Überprüfen Sie die auf allen Unternehmensgeräten installierten Anwendungen und entfernen Sie nicht autorisierte oder unnötige Anwendungen
  • Achten Sie besonders auf Tools für den Fernzugriff wie TeamViewer und AnyDesk
  • Achten Sie auf legitime Tools, die missbraucht werden könnten – darunter PSExec und PowerShell ISE.
  • Stellen Sie sicher, dass Ihre Backup-Systeme isoliert und getestet sind und erstellen Sie regelmäßig Offline-Backups kritischer Daten.
  • Überprüfen und aktualisieren Sie Ihren Incident-Response-Plan.

Für weitere Unterstützung wenden Sie sich bitte an das BARRACUDA Managed XDR-Team, um zu erfahren, wie es Ihnen helfen kann.

Stoppen Sie Bedrohungen mit rund um die Uhr verwalteter Cybersecurity
Merium Khalid

Merium Khalid ist Director of SOC Offensive Security, Office of the CTO bei Barracuda. Merium verfügt über umfangreiche Erfahrung in der Datenanalyse, Bedrohungserkennung, Incident Response, Forschung und Entwicklung und vielem mehr. Ihr Team ist verantwortlich für die Leitung von Incident-Response-Triage-Anrufen, die Entwicklung erstklassiger Anwendungsfallerkennungen durch maschinelles Lernen, statische Abfragen, die Recherche und Implementierung neuer Plattformen und die Automatisierung von Arbeitsabläufen zum Schutz ihrer Kunden, um eine erstklassige Erfahrung zu bieten und sicherzustellen, dass die SOC-Analystenerfahrung erstklassig ist. Merium erhielt ihren Bachelor-Abschluss in Informatik von der SUNY Old Westbury und besitzt viele Jahre Erfahrung in der Leitung und Verwaltung von Sicherheitsoperationen.

Verwandte Beiträge:
Proving Managed XDR value in one click
Proving Managed XDR value in one click
 Celebrating back-to-back award wins for email security and XDR
Celebrating back-to-back award wins for email security and XDR
 Rohdaten über Bedrohungen operationalisieren
Rohdaten über Bedrohungen operationalisieren
 SOC-Bedrohungsradar – März 2026
SOC-Bedrohungsradar – März 2026
Den Blog durchsuchen

Bericht über E-Mail-Sicherheitsverletzungen 2025

Wichtige Erkenntnisse über die Erfahrungen mit und Auswirkungen von E-Mail-Sicherheitsverletzungen auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Der MSP Customer Insight Report 2025 

Ein globaler Blick darauf, was Organisationen von ihren Cybersecurity Managed Service Providers benötigen und erwarten.

Zum Report

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.