Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les cyberattaques liées à l'identité, y compris les violations de JBS, FujiFilm, et plus encore, ainsi que des détails sur les tactiques utilisées dans l'attaque de Colonial Pipeline.
L'attaque de Colonial Pipeline attribuée à un compte inactif
Le groupe Darkside ransomware a utilisé un mot de passe compromis pour accéder à un compte VPN inactif dans le réseau de Colonial Pipeline, un stratagème qui a réussi à fermer le gazoduc de 5 500 miles de la société pendant 5 jours et qui a coûté à la société une rançon estimée à 5 millions de dollars.
Le réseau de FujiFilm victime d'une attaque par ransomware
Le conglomérat japonais FujiFilm a été contraint d'interrompre partiellement ses activités au début du mois de juin après que son réseau a été infecté par le logiciel malveillant Qbot, actuellement utilisé par le groupe de ransomware REvil. Le logiciel malveillant Qbot permet d'accéder à distance aux réseaux compromis, ce qui ouvre la voie à des mouvements latéraux dans l'environnement et au cryptage des données.
Le producteur de viande JBS a versé 11 millions de dollars au groupe de ransomware REvil après une attaque
JBS a versé 11 millions de dollars au groupe REvil, spécialisé dans les ransomwares, pour décrypter des fichiers compromis lors d'une cyberattaque à la fin du mois de mai. Les responsables de JBS ont déclaré qu'ils n'avaient besoin du décrypteur que pour restaurer quelques bases de données, le reste des données ayant été récupéré à partir de sauvegardes. JBS a été contraint de fermer certains sites de production alimentaire pendant que les négociations étaient en cours.
REvil vise l'entreprise américaine Sol Oriens, spécialisée dans la fabrication d'armes nucléaires
Sol Oriens, une société de conseil qui gère des technologies pour des applications militaires et spatiales, a été touchée par le groupe de ransomware REvil, qui s'est introduit dans le système de la société et a acquis des documents. REvil a fait référence aux liens de Sol Oriens avec des agences militaires dans une déclaration publiée sur son site de fuite.
Le centre national de cybersécurité du Royaume-Uni appelle à renforcer les défenses contre les cyberattaques dans le secteur de l'éducation
Le National Cyber Security Center (NCSC) du Royaume-Uni a mis en garde contre la recrudescence des cyberattaques dans le secteur de l'éducation, attirant l'attention sur la nécessité pour les écoles et autres entités éducatives de renforcer leurs défenses contre les tactiques qui exploitent les mots de passe faibles, l'absence d'authentification multifactorielle et les vulnérabilités non corrigées dans le protocole de bureau à distance (RDP) et les réseaux privés virtuels (VPN).
Le fournisseur de services de recrutement de la Chambre des représentants des États-Unis, iConstitutent, victime d'une attaque par ransomware
Un fournisseur de messagerie automatisée utilisé par la Chambre des représentants des États-Unis pour communiquer avec ses électeurs a été victime d'une attaque par ransomware qui a empêché les bureaux de la Chambre d'accéder aux données.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.
