Menu dostępności

Dostęp do konta administratora domeny w firmie finansowej z listy Fortune 500 wystawiony na sprzedaż w Darknecie!

Do czego to doszło? W Darknecie można kupić dostęp do konta Administratora domeny do jednej z największych firm finansowych z listy Fortune 500!

Ogłoszenie pojawiło się w niedzielę na znanym forum Darknet tutaj. Możemy w nim przeczytać, że anonimowy haker/osoba o pseudonimie magicman1337 sprzedaje dostęp do konta administratora domeny firmy finansowej wymienionej na liście Fortune 500, której wartości aktywów to ponad 100 miliardów dolarów!:

„Kupujący otrzyma uprzywilejowany dostęp na poziomie użytkownika SYSTEM do systemu Windows kontrolera domeny i wszystkich hashy haseł (zaszyfrowanych haseł) z bazy NTDS.DIT”

Nie wiemy, czy doszło do ataku hakerskiego, czy dane te uzyskał pracownik tej firmy lub osoba trzecia. Równie dobrze mogło to być pokłosie exploitacji ostatniej podatności Microsoft – ZeroLogon, którą może wykonać praktycznie każda osoba w sieci jeśli firma odpowiednio wcześnie nie zabezpieczyła kontrolerów domeny.

Oferent nie podaje ceny za ujawnienie danych, ale rozważa tylko konkretne propozycje finansowe.
Podał też informacje, że w zhakowanej domenie firmy jest ponad 1800 komputerów i ponad 1500 kont użytkowników domeny. Kupujący otrzyma dostęp do wszystkich z nich, ponieważ oferowane poświadczenia umożliwiają pełny dostęp do domeny na poziomie przedsiębiorstwa. Oprócz dostępu administracyjnego użytkownik forum zaoferował także sprzedaż bazy danych 1697 jawnych haseł użytkowników, które rozszyfrował.

O bezpieczeństwie Active Directory i haseł pisaliśmy na Kapitanie Hacku tutaj oraz tutaj.


Co w tej sytuacji? Co powinna zrobić firma?

W Internecie pojawiły się spekulacje użytkowników, że ów zhakowaną firmą może być M&A (McKinsey&Company).

Pewnie zastanawia Was, co taka firma może zrobić w tej sytuacji? Odpowiedź jest prosta – najlepiej przeinstalować całe Active Directory. Lecz zwłaszcza w tak dużej organizacji może nie być to takie łatwe do zrobienia i sprzątanie po incydencie może zająć miesiące. Jeśli haker pozostawił po sobie backdoory (takie jak wymienione tutaj) w środowisku lub posiada na którymś z komputerów zainstalowany malware umożliwiający mu zdalny dostęp do jej środka, firma powinna przede wszystkim wykonać audyt całego środowiska IT i na bieżąco monitorować zachowanie użytkowników oraz sieć. Wskazane jest także wdrożenie kontroli aktywności kont uprzywilejowanych oraz odebrać nadmiarowe uprawnienia. Oczywiście po stronie samej domeny AD firma powinna wykonać szereg zaleceń m.in. odnośnie zmiany haseł użytkowników (z kontem KRBTGT włącznie), resetu haseł kontrolerów domeny itd.

Jeśli jesteś zainteresowany audytem i ochroną środowiska AD/Microsoft w Twojej firmie i chciałbyś zabezpieczyć się przed taką sytuacją w przyszłości zachęcamy do kontaktu -> kontakt(at)kapitanhack.pl

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...