Nieuwe malware richt pijlen op slecht beveiligde Active Directory-systemen

netwerkkabels

Cybercriminelen richten met nieuwe malware hun pijlen op Active Directory-systemen (AD-systemen). Op veel van deze systemen ontbreekt twee-factor authentificatie, wat cybercriminelen de mogelijkheid geeft de systemen binnen te dringen. Hackers kunnen het volledige netwerk van een bedrijf via deze weg overnemen.

Het Dell SecureWorks Counter Threat Unit (CTU) team trekt aan de bel over de Skeleton Key-malware. Deze malware is specifiek gericht op AD-systemen die uitsluitend zijn beveiligd met een wachtwoord en is in staat deze wachtwoorden te kraken. Aanvallers kunnen hierdoor onopgemerkt met een account naar keuze inloggen op de systemen, zonder dat dit wordt opgemerkt door het bedrijf.

Op afstand meekijken met werknemers

De malware is ontdekt op het systeem van een klant van Dell die wachtwoorden gebruikt om toegang te krijgen tot e-mail- en VPN-diensten. De Skeleton Key-malware gaf de aanvallers de mogelijkheid remote access-tools te gebruiken om systemen van medewerkers van het getroffen bedrijf. Deze medewerkers hadden niets in de gaten en konden dus geen maatregelen nemen om zichzelf te beschermen.

De Skeleton Key-malware is relatief eenvoudig in opzet. Dell meldt dat de aanvallers de malware telkens opnieuw op een AD-systeem moeten zetten zodra dit systeem wordt herstart. Om dit mogelijk te maken installeren aanvallers remote access-malware op systemen binnen het netwerk van bedrijven. Deze malware wordt gebruikt om de Skeleton Key-malware terug te plaatsen op van AD-systemen van organisaties.

Maatregelen

Dell adviseert bedrijven die zichzelf willen beschermen tegen aanvallen met de malware twee-factor authentificatie te implementeren. De malware is namelijk uitsluitend geschikt voor aanvallen op AD-systemen waarbij deze beveiligingsmaatregel ontbreekt. Twee-factor authentificatie maakt het voor aanvallers dan ook onmogelijk met Skeleton Key AD-systemen binnen te dringen.

Lees ook
WatchGuard: malware gericht op endpoints stijgt explosief

WatchGuard: malware gericht op endpoints stijgt explosief

Ondanks dat het totale aantal netwerkdetecties van malware in het afgelopen kwartaal bijna gehalveerd is ten opzichte van het vorige kwartaal, is het aantal detecties van malware gericht op endpoints met 82% gestegen.

Miljoenen berichten verspreiden LockBit 3.0

Miljoenen berichten verspreiden LockBit 3.0

Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.