I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis evidenzia gli avvertimenti di Microsoft sulla nuova campagna di ransomware Prestige, l'aumento dell'attività di Hive e i nuovi attacchi zero-day di Exchange Server.
Microsoft mette in guardia dal ransomware Prestige
Il Microsoft Threat Intelligence Center (MSTIC) ha segnalato una nuova campagna ransomware contro organizzazioni di trasporto e logistica in Ucraina e Polonia. Gli aggressori sfruttano l'accesso a credenziali altamente privilegiate, come l'amministratore di dominio, per propagare il malware attraverso tattiche che includono la copia del payload del ransomware in un controller di dominio Active Directory e la distribuzione attraverso l'oggetto Criteri di gruppo del dominio predefinito.
Il gruppo di ransomware Hive colpisce l'azienda energetica indiana Tata Power
Il gruppo di ransomware Hive ha rivendicato la responsabilità di un attacco informatico alla società energetica indiana Tata Power che ha compromesso i sistemi informatici e fatto trapelare i dati rubati dei dipendenti. Tra le altre tattiche, Hive, che ha rivendicato anche la responsabilità del recente attacco al governo del Costa Rica, utilizza software di amministrazione remota per infiltrarsi nei sistemi e stabilire la persistenza, quindi utilizza strumenti come ADRecon per mappare l'ambiente AD.
Microsoft mette in guardia da nuovi attacchi zero-day a Exchange Server
Gli aggressori utilizzano nuovi exploit zero-day per compromettere le reti e rubare i dati accedendo ai servizi interni ed eseguendo codice remoto. Le vulnerabilità consentono agli aggressori di avere "accesso alla tastiera", che utilizzano per effettuare una ricognizione di Active Directory.
Il gruppo di ransomware LockBit prende di mira il concessionario automobilistico britannico Pendragon
La banda del ransomware LockBit ha violato il gruppo Pendragon, che possiede 200 concessionarie di auto nel Regno Unito, presumibilmente rubando alcuni dati ma non riuscendo a estrarre il riscatto da Pendragon. Il gruppo LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Altre risorse
