Angriffe mit Conti-Ransomware auf Exchange Server gehen weiter - und werden ständig effizienter

Angriffe mit Conti-Ransomware auf Exchange Server gehen weiter - und werden ständig effizienter

ID: 1924310

SophosLabs entdecken, dass die Cyberkriminellen sieben Hintertüren bei einer Attacke eingeschleust haben.



(PresseBox) - Untersuchungen der jüngsten Angriffe auf Exchange Server mit Conti-Ransomware haben ergeben, dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen. Für die Schwachstellen in Microsoft Exchange wurden in Folge diverse kritische Updates während der letzten Monate veröffentlicht. ProxyShell ist eine Weiterentwicklung der ProxyLogon-Angriffsmethode. In den letzten Monaten hat sich der Exploit bei Ransomware-Angreifern zu einem der wichtigsten Werkzeuge entwickelt – auch bei denjenigen, die die neue LockFile-Ransomware einsetzen, die erstmals im Juli auftauchte.

Mit zunehmendem Wissen über dieser Angriffsmethode hat sich die Verweildauer der Cyberkriminellen vom Start bis hin zur endgültigen Aktivierung der Ransomware auf den Zielnetzwerken von Wochen auf Stunden verkürzt.

Schnelle „effiziente“ Angriffe

Bei einer von Sophos beobachteten ProxyShell-basierten Attacke gelang den Conti-Angreifern in weniger als einer Minute der Zugang zum Netzwerk des Opfers, inklusive der Einrichtung einer Remote-Web-Shell. Drei Minuten später installierten die Kriminellen eine zweite Backup-Web-Shell. Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt. Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 Terabyte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten.



Böse Hinterlassenschaft: 7 Hintertüren

Im Laufe des Einbruchs installierten die Conti-Angreifer nicht weniger als sieben Hintertüren im Netzwerk: zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities). Die früh installierten Web-Shells wurden hauptsächlich für den Erstzugang verwendet; Cobalt Strike und AnyDesk sind die primären Tools, die sie für den Rest des Angriffs einsetzten.

Weitere Technische Ausführungen von den Sophos Security-Spezialisten Sean Gallagher und Peter Mackenzie sind unter: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
drucken  als PDF  Next Generation Multi-Gigabit Wireless-Netzwerke: Cambium Networks veranstaltet EMEA-weites Online-Event myCo und onAcademy auf der tipps & tools Köln
Bereitgestellt von Benutzer: PresseBox
Datum: 06.09.2021 - 12:24 Uhr
Sprache: Deutsch
News-ID 1924310
Anzahl Zeichen: 3058

Kontakt-Informationen:
Stadt:

Wiesbaden



Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 517 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Angriffe mit Conti-Ransomware auf Exchange Server gehen weiter - und werden ständig effizienter"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


Next Generation Multi-Gigabit Wireless-Netzwerke: Cambium Networks veranstaltet EMEA-weites Online-Event ...
München/Rolling Meadows, USA, 6. September 2021 - Moderne, schnelle Netzwerke sind heutzutage branchenübergreifend eine wichtige Voraussetzung für eine optimale Kommunikation. Damit sich Menschen, Orte und Dinge weltweit problemlos vernetzen können, müssen die zum Einsatz kommenden Technologien

Rechenzentrum Winterthur stellt Tätigkeit ein ...
Die Rechenzentrum Winterthur plante für 2021 mit einem Partnerunternehmen die Errichtung eines Hochsicherheitsrechenzentrums für Cloud-Services. Die Rechenzentrum Winterthur hatte sich für die Errichtung von zwei Hochsicherheitsrechenzentren (eines in Winterthur, sowie ein weiteres im Kanton St.

Digitalradio DAB+ mit Wachstumsschub: Plus 30 Prozent / 5 Mio. Geräte mehr in Haushalten / Digitalisierungsbericht der Medienanstalten 2021 ...
Immer mehr Menschen in Deutschland entscheiden sich für digitales DAB+ Radio. Wie der Digitalisierungsbericht der Medienanstalten 2021 deutlich zeigt, erreicht die Ausstattung der Haushalte (zu Hause und im Auto) mit 21,7 Mio. DAB+ Empfängern einen neuen Spitzenwert. Die rund 5 Mio. Radios mehr en

Gartner Peer Insights: 90 % der Kunden empfehlen M-Files als Content-Management-Plattform ...
Ratingen, 6.9.2021 - M-Files, führender Anbieter für intelligentes Informationsmanagement, gab heute bekannt, dass das Unternehmen jetzt am Gartner Peer Insights Customer First Programm für Content-Services-Plattformen teilnimmt. Mit dem Beitritt zu diesem Programm verpflichtet sich M-Files dazu,


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z