Risiko von Wiper-Angriffen im Kontext des Iran-Konflikts

Redaktion Redaktion  |
  • Identitätsmanagement, Phishing
  • Experte
Risiko von Wiper-Angriffen im Kontext des Iran-Konflikts

Risiko von Wiper-Angriffen im Kontext des Iran-Konflikts.

Das Unit 42-Team von Palo Alto Networks beobachtet ein erhöhtes Risiko von Wiper-Angriffen – Cyberangriffe, bei denen Daten gezielt gelöscht oder Systeme unbrauchbar gemacht werden – im Kontext des Iran-Konflikts. Mehrere Vorfälle haben bereits Organisationen in Israel und den USA betroffen.

Zusammenfassung (TL; DR):

  • Warnung der israelischen Cyberbehörde: Am 6. März meldete das Israel National Cyber Directorate, dass Angreifer Server und Workstations löschten, um Betriebsabläufe zu stören. In einigen Fällen nutzten sie gestohlene Zugangsdaten, um Zugriff auf Netzwerke zu erhalten.
  • Handala Hack als Akteur: Die Gruppe (auch bekannt als Void Manticore, COBALT MYSTIQUE sowie Storm-1084/Storm-0842) nutzt vor allem Phishing sowie administrativen Zugriff über Microsoft Intune, um Zugang zu Unternehmensnetzwerken zu erlangen.
  • Mögliche staatliche Verbindung: Die Threat-Intelligence-Community stuft Handala Hack inzwischen als Frontorganisation des iranischen Ministry of Intelligence and Security (MOIS) ein.

Das Unit 42-Team von Palo Alto Networks beobachtet ein erhöhtes Risiko von Wiper-Angriffen im Zusammenhang mit dem Konflikt mit dem Iran. Dies betrifft auch mehrere Vorfälle, die Organisationen in Israel und den USA betreffen. Aktuelle Informationen zu Cyberangriffen im Zusammenhang mit diesem Konflikt finden Sie in unserem Bedrohungsbericht: Eskalation des Cyberrisikos im Zusammenhang mit dem Iran (März 2026).

Die Handala-Hack-Gruppe (auch bekannt als Void Manticore, COBALT MYSTIQUE und Storm-1084/Storm-0842) nutzt Berichten zufolge primär Identitätsdiebstahl durch Phishing und administrative Zugriffsrechte über Microsoft Intune. Handala Hack trat erstmals Ende 2023 in Erscheinung. Obwohl die Gruppe anfangs als Hacktivistengruppe wahrgenommen wurde, stuft die Threat-Intelligence-Community sie derzeit als staatlich gesteuerte Tarnorganisation des iranischen Ministeriums für Nachrichtendienste und Sicherheit (MOIS) ein. Am 6. März warnte Israels Nationale Cyberdirektion vor iranischen Cyberangriffen auf israelische Organisationen, bei denen Daten gelöscht werden:

„Dem Nationalen Cyberkommando liegen Berichte über mehrere Fälle vor, in denen Angreifer sich Zugang zu Unternehmensnetzwerken verschafften und Server sowie Arbeitsstationen löschten, um den Betrieb der angegriffenen Organisationen zu stören. In einigen Fällen hatten die Angreifer Zugriff auf Daten legitimer Unternehmensnutzer, die sie für den ersten Zugang zum Netzwerk nutzten.“ (Übersetzung aus der Quelle: Israels Nationale Cyberdirektion)

Die folgenden Empfehlungen basieren auf den bisher öffentlich zugänglichen Informationen und den Bedrohungsdaten der Palo Alto Networks Unit 42. Sie beziehen sich insbesondere auf die Taktiken des iranisch vernetzten Bedrohungsakteurs Handala.

Wiper Angriffe: Empfehlungen zur proaktiven Absicherung

  • Dauerhafte Berechtigungen eliminieren: Persistente Administratorrechte stellen den größten Risikofaktor bei modernen Identitätsangriffen dar. Angreifer wie Handala zielen auf wertvolle Konten mit permanenten Berechtigungen ab, um sofortigen Schaden zu verursachen.
  • Just-in-Time-Zugriff (JIT): Implementieren Sie ein JIT-Modell für alle Administratorrollen. Anmeldeinformationen sollten standardmäßig keine Berechtigungen haben und erweiterte Rechte nur durch einen formalen Aktivierungsprozess erhalten. Eine CIEM-Lösung (Cloud Infrastructure and Identity Management) kann helfen, Identitätsrisiken in Cloud-Ressourcen zu identifizieren.
  • Microsoft Entra Privileged Identity Management (PIM): Verwenden Sie Entra ID PIM, um die Zuweisung berechtigter Rollen zu verwalten. Verlangen Sie Multi-Faktor-Authentifizierung (MFA), eine geschäftliche Begründung und, für risikoreiche Rollen, eine manuelle Genehmigung vor der Aktivierung.
  • CyberArk Privileged Access Management (PAM): Für Organisationen mit hybriden oder komplexen Multi-Cloud-Umgebungen verwenden Sie CyberArk, um Administratoranmeldeinformationen sicher zu speichern und die Sitzungsisolation zu verwalten. CyberArk bietet Administratoren eine sichere Landing Zone, die sicherstellt, dass Anmeldeinformationen für Plattformen wie Intune niemals auf einem potenziell kompromittierten Endpunkt gespeichert werden.

Sicherheitsoptimierung für Entra ID-Administratorkonten

  • Anzahl begrenzen: Reduzieren Sie die Anzahl globaler Administrator- und Intune-Administratorkonten auf das absolute Minimum, das Ihren Geschäftsanforderungen entspricht. Ein Tool wie das Cortex Identity Security Dashboard hilft Ihnen dabei, die Identitäten mit Administratorrechten zu identifizieren.
  • Cloud-native Konten: Verwenden Sie ausschließlich Cloud-Konten (z. B. [email protected]) für administrative Rollen, um eine seitliche Ausbreitung aus dem lokalen Active Directory durch die Kompromittierung synchronisierter Konten zu verhindern.
  • Notfallkonten: Halten Sie zwei Notfallzugriffskonten bereit, die von den Standardrichtlinien für bedingten Zugriff ausgenommen, aber durch hardwarebasierte Multi-Faktor-Authentifizierung (MFA) geschützt und mit Warnmeldungen hoher Priorität überwacht werden. Erwägen Sie, Massenlöschfunktionen nur für Notfallkonten zuzulassen.
  • Genehmigung durch mehrere Administratoren aktivieren (MAA): MAA erfordert die Prüfung und Genehmigung von Aktionen mit weitreichenden Folgen durch einen zweiten, anderen Administrator, bevor diese ausgeführt werden. Erstellen Sie eine Zugriffsrichtlinie für Aktionen wie Löschen oder Überschreiben.
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung