Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes et fournit des ressources supplémentaires pour se prémunir contre les attaques liées à l'identité. Dans le bulletin de ce mois-ci, le logiciel malveillant Cuttlefish compromet les routeurs pour voler des informations d'identification, Okta signale une augmentation des attaques par pulvérisation de mots de passe et par force brute contre ses clients, et Omni Hotels se remet d'une brèche qui a mis hors service des systèmes critiques pour l'entreprise.
Le logiciel malveillant Cuttlefish compromet les routeurs pour voler des informations d'identification
Un nouveau logiciel malveillant appelé Cuttlefish infecte les routeurs des entreprises et des bureaux à domicile pour voler des informations d'identification. Le logiciel malveillant contourne la détection des mesures de sécurité habituelles qui surveillent les connexions inhabituelles, exfiltre les données d'authentification et détourne le DNS et le HTTP.
Prendre des mesures contre le bourrage d'informations d'identification : Une mauvaise sécurité des informations d'identification est l'une des erreurs de configuration mentionnées dans la liste des principales erreurs de sécurité de la NSA. Consultez nos conseils pour corriger certaines des lacunes les plus courantes en matière de sécurité des informations d'identification.
Le vol de données d'identification est à l'origine de la violation de Change Healthcare
UnitedHealth a confirmé que le groupe de ransomware BlackCat a compromis Change Healthcare en février 2024 en volant des informations d'identification à partir d'un service d'accès à distance Citrix qui n'avait pas activé le MFA.
Prendre des mesures contre les attaques de fatigue de l'AMF : Pour des conseils sur la façon de se protéger contre les mauvaises configurations de l'AMF, voir Comment se défendre contre les attaques de fatigue de l'AMF.
Okta signale une augmentation des attaques par force brute et par pulvérisation de mot de passe à l'encontre de ses clients
La société de gestion des identités et des accès (IAM) Okta a mis en garde contre des attaques "sans précédent" de "credential stuffing" contre ses clients, impliquant des techniques de force brute et de pulvérisation de mot de passe. Okta a donné des conseils pour prévenir ces attaques, notamment en bloquant les adresses IP suspectes.
Prenez des mesures contre les attaques par pulvérisation de mot de passe et par force brute : Consultez le blog de notre équipe produit sur l'utilisation de la détection de modèles d'attaque par ML pour plus d'informations sur la manière de prévenir les attaques répandues et notoirement réussies telles que les attaques par pulvérisation de mot de passe et les attaques par force brute.
Les États-Unis lancent un avertissement sur la compromission des mots de passe après l'attaque de Sisense
À la suite de l'attaque par mot de passe contre la société d'analyse commerciale Sisense, le gouvernement américain a conseillé aux clients de la société de réinitialiser leurs informations d'identification. En tant que fournisseur d'informations commerciales à plus de 2 000 entreprises, dont Nasdaq et ZoomInfo, Sisense est une cible lucrative pour les attaques visant la chaîne d'approvisionnement.
Sean Deuby, technologue principal chez Semperis, a déclaré à Dark Reading : "Comme l'ont montré les récentes violations révélées par MGM Resorts et Caesars Palace, la chaîne d'approvisionnement reste le domaine le plus difficile à sécuriser, et c'est un terrain fertile pour les cyber-attaquants."
Prenez des mesures contre les compromissions de mots de passe qui peuvent conduire à des attaques de la chaîne d'approvisionnement : Consultez nos conseils pour combler les lacunes de sécurité les plus courantes, notamment les violations de la politique des mots de passe, dans les meilleures pratiques de sécurité d'Active Directory.
Omni Hotels ferme et restaure ses systèmes à la suite d'une cyberattaque
À la suite d'une cyberattaque qui a compromis ses systèmes de réservation, de point de vente, de paiement et de verrouillage des portes, Omni Hotels a mis ses systèmes hors ligne pour contenir la brèche avant de les restaurer, une mesure qui les a probablement aidés à se rétablir plus rapidement, selon le vice-président des ventes de Semperis, Dan Lattimer, comme l'indique le journal Hospitality Technology.
"Pour Omni et d'autres chaînes hôtelières, lorsque des cyber-attaques se produisent inévitablement, l'élimination des points de défaillance uniques et la mise en place de mesures d'urgence deviennent essentielles pour maintenir les services en ligne et réduire les temps d'arrêt importants", a déclaré M. Lattimer. "Dans le secteur de l'hôtellerie, en particulier, un temps d'arrêt trop long peut entraîner des pertes de revenus considérables. Aujourd'hui, il n'existe pas de solution miracle pour résoudre les problèmes de cybersécurité auxquels sont confrontées la plupart des entreprises. Je recommande aux entreprises d'identifier les services critiques qui constituent des "points de défaillance uniques" pour l'entreprise.
Prendre des mesures contre les pannes de système d'identité qui perturbent l'activité de l'entreprise : Dans 9 cyberattaques sur 10, le principal magasin d'identités de l'organisation victime - généralement Active Directory - est la cible finale. Pour obtenir un guide complet sur la sauvegarde et la récupération d'Active Directory en cas de cyberattaque, consultez le plan de reprise après sinistre d'Active Directory couvrant les cyberattaques.
Plus de ressources
