I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis evidenzia i cyberattacchi legati all'identità, compresi i dettagli sulla violazione del sistema ferroviario iraniano da parte di MeteorExpress, diverse vulnerabilità di Microsoft, tra cui PetitPotam e SeriousSam, e una nuova violazione zero-day del software SolarWinds.
L'attacco wiper MeteorExpress ha utilizzato Active Directory per compromettere il sistema ferroviario iraniano
Un attacco wiper al sistema ferroviario iraniano ha utilizzato i criteri di gruppo di Active Directory per spingere il malware attraverso la rete che ha crittografato i file e cancellato i backup del Volume Shadow Copy Service (VSS), complicando il recupero.
Microsoft risolve diverse vulnerabilità legate all'identità
Con una serie di avvisi, patch e workaround, Microsoft ha affrontato una serie di vulnerabilità legate all'identità nel suo software, tra cui gli attacchi PetitPotam contro i controller di dominio di Windows, una vulnerabilità critica di PowerShell 7 per l'esecuzione di codice e l'attacco SeriousSam che consente a chiunque di leggere il registro di Windows 10. L'azienda ha anche aggiunto il rilevamento di PrintNightmare a Microsoft Defender for Identity e ha aggiunto la possibilità a Microsoft Defender per i team operativi di sicurezza di bloccare un account Active Directory compromesso. L'azienda ha anche aggiunto il rilevamento di PrintNightmare a Microsoft Defender for Identity e ha aggiunto la possibilità a Microsoft Defender per i team operativi di sicurezza di bloccare l'account Active Directory di un utente compromesso.
Il CISA avverte le agenzie di applicare una patch alla vulnerabilità dello spooler di stampa di Windows
La Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento della Sicurezza Nazionale degli Stati Uniti ha ordinato alle agenzie esecutive di applicare immediatamente la patch out-of-band rilasciata da Microsoft il 7 luglio per risolvere la vulnerabilità del Print Spooler di Windows, denominata PrintNightmare.
Gli aggressori hanno utilizzato una falla zero-day per violare nuovamente SolarWinds
SolarWinds ha riferito che gli attori delle minacce hanno utilizzato una falla zero-day nei suoi software Serv-U Managed File Transfer e Serv-U Secure FTP per effettuare attacchi mirati che sembrano non essere correlati all'attacco a tappeto al suo software Orion scoperto alla fine del 2020.
REvil scatena un attacco di vasta portata alla catena di fornitura tramite Kaseya
Il gruppo di ransomware REvil ha utilizzato la vulnerabilità zero-day per diffondere il malware attraverso un falso aggiornamento automatico della soluzione VSA di Kaseya, utilizzata dai provider di servizi gestiti (MSP) negli Stati Uniti e nel Regno Unito per gestire i sistemi dei loro clienti.
Le autorità orchestrano l'abbattimento del server DoubleVPN utilizzato dai criminali informatici
Guidato dalla polizia nazionale olandese, un consorzio di autorità statunitensi, europee e canadesi ha sequestrato i domini web e l'infrastruttura dei server di DoubleVPN, una VPN utilizzata dai criminali informatici per mascherare la propria posizione e identità.
AvosLocker sfrutta le vulnerabilità del CC per colpire le vittime
Un nuovo gruppo di ransomware, AvosLocker, prende di mira i controller di dominio vulnerabili per entrare nei sistemi informatici e distribuire malware alle sue vittime, tra cui la città di Geneva, in Ohio.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.