Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, le groupe Rhysida ransomware a attaqué le Lurie Children's Hospital et Insomniac Games, filiale de Sony, BlackCat/ALPHV a ciblé plusieurs victimes et LockBit a attaqué le comté de Fulton, en Géorgie.
Rhysida revendique l'attaque d'un hôpital pour enfants à Chicago
Le groupe Rhysida ransomware a revendiqué une attaque contre le Lurie Children's Hospital, un établissement de soins pédiatriques aigus à Chicago, qui a mis les systèmes hors service et reporté les soins médicaux. Entre autres tactiques, Rhysida utilise un script PowerShell pour compromettre les machines, notamment en mettant fin aux configurations RDP et en modifiant les mots de passe Active Directory. Rhysida a également revendiqué une attaque contre Insomniac Games, une filiale de Sony.
BlackCat/ALPHV s'en prend à Change Healthcare, Hessen Consumer Center, loanDepot, Prudential Financial
Le gang de ransomware BlackCat/ALPHV a revendiqué la cyberattaque contre Optum, une filiale de UnitedHealth Group, qui a perturbé les services de la plateforme d'échange de paiements Change Healthcare utilisée par plus de 70 000 pharmacies américaines. Le groupe de cybercriminels, qui affirme avoir volé 6 To de données de Change Healthcare, utilise diverses méthodes pour compromettre les systèmes des organisations, y compris Active Directory. BlackCat/ALPHV a également revendiqué des attaques contre le Hessen Consumer Center, une organisation à but non lucratif située à Francfort, en Allemagne, qui fournit des informations sur la défense des consommateurs aux habitants de la région, contre LoanDepot et contre Prudential Financial.
Les données des clients de U-Haul compromises lors d'un vol de données d'identification
Un pirate inconnu a utilisé des informations d'identification volées pour compromettre les dossiers des clients de U-Haul, une société américaine qui loue du matériel de déménagement et des unités de stockage.
LockBit revendique une attaque contre le comté de Fulton, en Géorgie
Le comté de Fulton, en Géorgie, où se trouve Atlanta, a été la cible d'une attaque du groupe LockBit ransomware qui a provoqué des pannes informatiques généralisées.
Les groupes de ransomware Black Basta et Bl00dy ciblent les serveurs ScreenConnect
Black Basta et Bl00dy font partie des groupes de cybercriminels qui ont exploité une vulnérabilité de contournement de l'authentification de gravité maximale dans les serveurs ScreenConnect. Cette faille permet aux attaquants de créer des comptes d'administrateur, de supprimer des utilisateurs et de prendre le contrôle d'instances vulnérables. Black Basta a également revendiqué une attaque contre Hyundai Motor Europe qui aurait compromis 3 To de données d'entreprise.