Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Dans ce numéro, l'Espagne met en garde contre des attaques de phishing utilisant le ransomware LockBit Locker, le groupe Rhysida a revendiqué une attaque contre Prospect Medical et BlackCat a ciblé le fabricant de montres Seiko.
La campagne de ransomware LockBit Locker cible les cabinets d'architectes en Espagne
Un groupe de ransomware qui ne serait pas affilié au groupe LockBit a utilisé la technologie de chiffrement LockBit Locker dans une campagne contre des entreprises d'architecture espagnoles. La campagne utilise des courriels d'hameçonnage usurpant l'identité d'un magasin de photographie pour obtenir l'accès aux privilèges d'administrateur sur des machines Windows.
Le groupe Rhysida revendique l'attaque contre Prospect Medical
Le groupe Rhysida ransomware a revendiqué une attaque contre Prospect Medical Holdings qui a permis d'extraire 500 000 numéros de sécurité sociale, des documents d'entreprise et des dossiers de patients. Entre autres tactiques, Rhysida utilise un script PowerShell pour compromettre les machines, notamment en mettant fin aux configurations RDP et en modifiant les mots de passe Active Directory.
BlackCat revendique une attaque contre le fabricant de montres Seiko
L'horloger japonais Seiko a été victime d'une attaque par ransomware du groupe BlackCat/ALPHV qui a permis de divulguer des plans de production, des scans de passeports d'employés, des résultats de tests en laboratoire et des informations sur la conception de montres potentielles. BlackCat cible Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants.
Un groupe de ransomware cubain cible des infrastructures critiques aux États-Unis et en Amérique latine
Le groupe de ransomware cubain a compromis des infrastructures critiques aux États-Unis et en Amérique latine en exploitant une vulnérabilité dans le protocole NetLogon de Microsoft pour procéder à une escalade des privilèges contre les contrôleurs de domaine Active Directory.
La brèche dans le système MOVEit s'étend au Colorado, au Missouri et à l'entreprise publique américaine Serco
La faille MOVEit provoquée par le ransomware Clop a touché d'autres victimes, dont le département de la politique et du financement des soins de santé du Colorado (HCPF), le département des services sociaux du Missouri et l'entreprise gouvernementale américaine Serco. Les méthodes d'attaque de Clop consistent à cibler l'ensemble du réseau de la victime en compromettant le serveur Active Directory (AD) et en diffusant des logiciels malveillants.