Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti attacchi informatici. Nella carrellata di attacchi legati all'identità di questo mese, le ramificazioni della violazione di Okta si espandono, gli aggressori prendono di mira l'Active Directory di un'agenzia spaziale giapponese e il gruppo di ransomware BlackCat/ALPHV lancia ripetuti attacchi all'azienda sanitaria Henry Schein.
Un attacco a Okta ha compromesso i dati degli utenti dell'assistenza clienti
Gli aggressori che hanno preso di mira Okta in un attacco di ottobre hanno ottenuto i dati degli utenti del sistema di assistenza clienti. Okta ha notato che molti degli utenti esposti erano amministratori, alcuni dei quali non avevano implementato l'MFA, il che ha spinto l'azienda a raccomandare l'implementazione dell'MFA per l'accesso degli amministratori, la richiesta di una nuova autenticazione per le sessioni di amministrazione da nuovi indirizzi IP, l'impostazione di timeout per le sessioni di amministrazione e una maggiore vigilanza contro i tentativi di phishing.
Attaccanti prendono di mira l'Active Directory dell'agenzia spaziale giapponese
Un attacco all'agenzia spaziale giapponese JAXA ha preso di mira il server Active Directory dell'organizzazione, esponendo potenzialmente informazioni critiche tra cui le credenziali dei dipendenti.
L'azienda sanitaria Henry Schein subisce un nuovo attacco da parte di BlackCat/ALPHV
Il grande fornitore di prodotti e servizi sanitari Henry Schein, con sede negli Stati Uniti, ha subito un secondo attacco a novembre, dopo che il gruppo di ransomware BlackCat/ALPHV aveva preso di mira l'azienda per la prima volta a ottobre. L'attacco ha messo fuori uso alcune applicazioni e la piattaforma di e-commerce. ALPHV/BlackCat prende spesso di mira Active Directory per accedere ai sistemi informatici prima di rilasciare il malware.
L'attacco di MOVEit ha provocato danni all'azienda sanitaria Welltok, ad AutoZone e allo Stato del Maine
Il fornitore di servizi sanitari statunitense Welltok ha comunicato di essere stato vittima dell'attacco ai server di MOVEit Transfer sferrato dal gruppo di ransomware Clop e che la violazione ha interessato oltre 8 milioni di persone. Anche AutoZone ha comunicato di essere stata vittima dell'attacco MOVEit, così come lo Stato del Maine.
LockBit rivendica attacchi a contraenti governativi canadesi e Boeing
Il gruppo ransomware LockBit si è assunto la responsabilità degli attacchi a due appaltatori governativi canadesi che hanno esposto informazioni sensibili sui dipendenti pubblici. LockBit utilizza diverse tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows. Anche il produttore di linee aeree Boeing ha riferito di essere stato vittima di un attacco LockBit.
Il gruppo Black Basta dietro l'attacco alla biblioteca pubblica di Toronto
Il gruppo di ransomware Black Basta, le cui tattiche includono l'attacco alle Active Directory delle organizzazioni, ha rivendicato la responsabilità di un attacco alla Toronto Public Library che ha compromesso le informazioni personali di dipendenti, clienti, volontari e donatori.
Altre risorse
