I cyberattacchi che prendono di mira Active Directory (AD) sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis mette in evidenza nuove informazioni sui recenti attacchi legati all'identità, tra cui gli attacchi HermeticWiper alle organizzazioni ucraine, la campagna di social engineering Lapsus$ (alias Dev-0537) e i colpi di AvosLocker a obiettivi di infrastrutture critiche.
Gli aggressori hanno ottenuto l'accesso AD e hanno utilizzato HermeticWiper negli attacchi alle organizzazioni ucraine
In una campagna pianificata da mesi, gli attori delle minacce hanno ottenuto l'accesso ai server AD e hanno distribuito il malware HermeticWiper attraverso il criterio di dominio predefinito.
Lapsus$, alias Dev-0537, utilizza l'ingegneria sociale e l'estorsione per accedere ai sistemi informatici
Attraverso l'ingegneria sociale e l'estorsione, il gruppo di ransomware Lapsus$ (Dev-0537) ha utilizzato credenziali compromesse per accedere ai sistemi informativi delle organizzazioni, compresi i provider di identità come Azure Active Directory e Okta.
Il servizio di ransomware AvosLocker colpisce obiettivi di infrastrutture critiche
Utilizzando vari metodi per ottenere i privilegi di amministratore di dominio sugli account AD delle vittime, il gruppo di ransomware-as-a-service AvosLocker ha preso di mira diverse organizzazioni nei settori delle infrastrutture critiche, tra cui organizzazioni governative, manifatturiere e servizi finanziari.
LockBit 2.0 si assume la responsabilità dell'attacco a Bridgestone
Il gruppo di ransomware-as-a-service LockBit 2.0 ha recentemente rivendicato la responsabilità degli attacchi al fornitore automobilistico giapponese Bridgestone. LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Il CISA rinnova la patch PrintNightmare e gli avvisi sulla configurazione MFA
La Cybersecurity and Infrastructure Security Agency (CISA), in un avviso congiunto con l'FBI, ha lanciato nuovi avvertimenti sul fatto che gli hacker russi stanno attivamente sfruttando falle non patchate, come PrintNightmare, e pratiche rischiose, come politiche MFA non applicate, che consentono loro di accedere alle reti e distribuire malware.
Altre risorse
