I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis evidenzia i nuovi attacchi di LockBit a enti pubblici in California e Portogallo, un attacco Hive a un ospedale della Louisiana e un attacco BlackCat al fornitore di energia colombiano EPM.
LockBit rivendica l'attacco al porto di Lisbona
Il gruppo ransomware LockBit ha rivendicato l'attacco del giorno di Natale al porto di Lisbona, in Portogallo, che ha compromesso i dati ma non ha influito sulle operazioni portuali, anche se il sito web ufficiale del porto è andato offline. Il porto, considerato un'infrastruttura critica, è uno dei più frequentati d'Europa e serve navi container, navi da crociera e imbarcazioni da diporto. LockBit ha anche recentemente rivendicato la responsabilità di un attacco al Dipartimento delle Finanze della California. Il gruppo LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Il gruppo di ransomware Hive rivendica l'attacco all'ospedale della Louisiana
Il gruppo di ransomware Hive ha rivendicato la responsabilità dell'attacco ransomware di ottobre al Lake Charles Memorial Health System in Louisiana, che ha compromesso i dati di circa 270.000 pazienti. Tra le altre tattiche, Hive utilizza software di amministrazione remota per infiltrarsi nei sistemi e stabilire la persistenza, quindi utilizza strumenti come ADRecon per mappare l'ambiente AD.
Il gruppo di ransomware BlackCat colpisce il fornitore di energia colombiano EPM
Un attacco BlackCat/ALPHV contro il fornitore di energia colombiano EPM ha messo fuori uso le operazioni di uno dei maggiori fornitori di energia pubblica, acqua e gas del Paese. Microsoft ha recentemente avvertito che il gruppo di ransomware BlackCat prende di mira i server Exchange per raccogliere le informazioni di Active Directory necessarie per compromettere l'ambiente e rilasciare payload di crittografia dei file.
Altre risorse
