Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre les cyberattaques ciblant Active Directory et à s'en prémunir, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des attaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les attaques BlackCat qui ont déclenché une alerte du FBI, une attaque du groupe Conti contre Panasonic, une attaque Hive contre une société de santé californienne, et bien d'autres encore.
L'activité du ransomware BlackHat déclenche un avertissement du FBI
Le Federal Bureau of Investigation (FBI) des États-Unis a lancé un avertissement concernant le groupe BlackCat (alias ALPHV) de ransomware-as-a-service (RaaS), qui a attaqué des dizaines d'organisations dans le monde entier depuis novembre 2021. Soupçonné d'être lié à REvil et au groupe BlackMatter (Darkside) qui a frappé Colonial Pipeline en mai 2021, BlackCat cible Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants.
Les entreprises russes touchées par la fuite du ransomware Conti
Des outils développés à l'origine par le groupe russe de ransomware Conti et divulgués par un développeur ukrainien de ransomware ont été utilisés pour attaquer plusieurs entreprises russes. La tactique de Conti consiste notamment à obtenir les informations d'identification d'ADministrateur du domaine Active Directory avant de déployer le ransomware.
Le groupe de ransomware Hive attaque Partnership HealthPlan of California
Le groupe de ransomware Hive a revendiqué la responsabilité d'une attaque qui a permis d'extraire les données privées de 850 000 membres de Partnership HealthPlan of California. Entre autres tactiques, Hive utilise un logiciel d'administration à distance pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement AD.
Conti revendique l'attaque contre les activités canadiennes de Panasonic
Dans la deuxième brèche depuis novembre 2021, Panasonic a signalé que ses opérations canadiennes ont été victimes d'une cyberattaque ciblée. Le groupe de ransomware Conti, qui a récemment recruté d'anciens talents de TrickBot pour accroître sa capacité à compromettre les informations d'identification du domaine Active Directory, a revendiqué la responsabilité de l'attaque.
Plus de ressources
