Microsoft warnt vor Hackern, die BitLocker für Ransom-Angriffe nutzen

Nadine Dressler, 09.09.2022 19:45 Uhr 1 Kommentare
Microsoft hat eine Warnung vor einer neuen Bedrohung durch eine Hackergruppe mit dem Namen DEV-0270, auch bekannt als Nemesis Kitten, herausgegeben. Die Gruppe missbraucht demnach BitLocker zur Verschlüsselung von Dateien auf kompromittierten Geräten.

Ransomware-Angriffe

DEV-0270 soll dabei eine Abspaltung einer iranischen Hackergruppe sein, die auch als Phosphorus bekannt ist. Wer auch immer hinter der neuen Bedrohung steckt: Die Angreifer nutzen verschiedene Schwachstellen, um Windows-Geräte und ganze Netzwerke zu unterwandern und dann einen Ransomware-Angriff zu starten (via Bleeping Computer).

Die Hacker wollen also Lösegeld für die Freigabe der Daten ihrer Opfer erpressen. "DEV-0270 nutzt Schwachstellen mit hohem Schweregrad aus, um sich Zugang zu Geräten zu verschaffen, und ist dafür bekannt, dass sie neu bekannt gewordene Schwachstellen frühzeitig ausnutzt", erklärte Microsoft in der Warnung, die im Security-Blog veröffentlicht wurde.


Suche nach angreifbaren Systemen

Für das Microsoft Security Threat Intelligence-Team war bei der Entdeckung der Aktivität der Gruppe vor allem ein Faktor neu und bedrohlich: Die Angreifer suchen zunächst gezielt nach Opfern, deren Server und Geräte für Schwachstellen in Microsoft Exchange Server, Fortinet FortiGate SSL-VPN und Apache-Log4j anfällig sind, und nutzen dann das Windows-eigene Sicherheits-Tool BitLocker, um ihren Opfern Schaden zuzuführen.

"DEV-0270 nutzt in der gesamten Angriffskette Living-Off-The-Land-Binaries (LOLBINs) für die Erkennung und den Zugriff auf Anmeldeinformationen. Dies erstreckt sich auch auf den Missbrauch des integrierten BitLocker-Tools, um Dateien auf kompromittierten Geräten zu verschlüsseln." Die Nutzung von BitLocker und DiskCryptor durch iranische Akteure wurde erstmals Anfang Mai dieses Jahres entdeckt. Die Angreifer erhöhen die Privilegien auf Systemebene, was es ihnen auch ermöglicht, Microsoft Defender und andere Antivirus-Software zu deaktivieren, um ihrer Erkennung zu umgehen.

"Die Bedrohungsgruppe verwendet häufig native WMI-, net-, CMD- und PowerShell-Befehle sowie Registrierungs-Konfigurationen, um die Stealth- und Betriebssicherheit aufrechtzuerhalten", erklärte Microsoft. "Außerdem installieren und tarnen sie ihre benutzerdefinierten Binärdateien als legitime Prozesse, um ihre Präsenz zu verbergen."

Um sich vor diesen Angreifern zu schützen, empfiehlt Microsoft alle angebotenen Patches zu installieren, Passwörter auf deren Sicherheit hin zu überprüfen und regelmäßige Datensicherungen durchzuführen.

Siehe auch:
1 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies