Nieuwe malware richt pijlen op slecht beveiligde Active Directory-systemen

Cybercriminelen richten met nieuwe malware hun pijlen op Active Directory-systemen (AD-systemen). Op veel van deze systemen ontbreekt twee-factor authentificatie, wat cybercriminelen de mogelijkheid geeft de systemen binnen te dringen. Hackers kunnen het volledige netwerk van een bedrijf via deze weg overnemen.

Het Dell SecureWorks Counter Threat Unit (CTU) team trekt aan de bel over de Skeleton Key-malware. Deze malware is specifiek gericht op AD-systemen die uitsluitend zijn beveiligd met een wachtwoord en is in staat deze wachtwoorden te kraken. Aanvallers kunnen hierdoor onopgemerkt met een account naar keuze inloggen op de systemen, zonder dat dit wordt opgemerkt door het bedrijf.

Op afstand meekijken met werknemers

De malware is ontdekt op het systeem van een klant van Dell die wachtwoorden gebruikt om toegang te krijgen tot e-mail- en VPN-diensten. De Skeleton Key-malware gaf de aanvallers de mogelijkheid remote access-tools te gebruiken om systemen van medewerkers van het getroffen bedrijf. Deze medewerkers hadden niets in de gaten en konden dus geen maatregelen nemen om zichzelf te beschermen.

De Skeleton Key-malware is relatief eenvoudig in opzet. Dell meldt dat de aanvallers de malware telkens opnieuw op een AD-systeem moeten zetten zodra dit systeem wordt herstart. Om dit mogelijk te maken installeren aanvallers remote access-malware op systemen binnen het netwerk van bedrijven. Deze malware wordt gebruikt om de Skeleton Key-malware terug te plaatsen op van AD-systemen van organisaties.

Maatregelen

Dell adviseert bedrijven die zichzelf willen beschermen tegen aanvallen met de malware twee-factor authentificatie te implementeren. De malware is namelijk uitsluitend geschikt voor aanvallen op AD-systemen waarbij deze beveiligingsmaatregel ontbreekt. Twee-factor authentificatie maakt het voor aanvallers dan ook onmogelijk met Skeleton Key AD-systemen binnen te dringen.