Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, Midnight Blizzard frappe Microsoft et HPE, le groupe de ransomware Cactus cible Schneider Electric et LockBit revendique des attaques contre EquiLend et Capital Health.
L'attaque Midnight Blizzard contre Microsoft impliquait la pulvérisation de mots de passe, l'absence de MFA et l'escalade des privilèges.
L'attaque de Midnight Blizzard (également connu sous le nom de Nobelium ou APT29) qui a pénétré dans les comptes de messagerie des dirigeants de Microsoft a utilisé diverses tactiques, notamment des attaques par force brute par pulvérisation de mot de passe et des proxys résidentiels, pour obtenir l'accès à un compte de locataire de test non productif qui n'avait pas activé le MFA. Une fois que les auteurs de la menace ont eu accès au compte, qui disposait d'un accès élevé à l'environnement de l'entreprise, ils ont pu étendre leur accès. Midnight Blizzard a également ciblé les comptes de messagerie de Hewlett-Packard Enterprise (HPE).
Le ransomware Cactus frappe Schneider Electric
Le gang du ransomware Cactus, qui utilise des identifiants achetés et d'autres tactiques pour pénétrer dans les réseaux et obtenir des privilèges administratifs, a revendiqué la responsabilité d'une cyberattaque contre l'entreprise d'énergie Schneider Electronic.
LockBit revendique la responsabilité de la violation d'EquiLend
Le groupe de ransomware LockBit a revendiqué une attaque contre l'entreprise mondiale de fintech EquiLend qui a perturbé les services, juste une semaine après que l'entreprise ait annoncé son acquisition prochaine par une société de capital-investissement.
Jason's Deli victime d'attaques par saturation d'informations d'identification
Des acteurs malveillants ont compromis les données personnelles de clients lors d'une attaque par bourrage d'identifiants contre Jason's Deli, une chaîne de restaurants américaine.
Une nouvelle vulnérabilité de contournement de l'authentification expose GoAnywhere Managed File Transfer à des attaques
Une faille récemment découverte dans les versions de GoAnywhere Managed File Transfer antérieures à 7.4.1 permet aux attaquants de créer un nouvel utilisateur administrateur via le portail d'administration du produit, ce qui pourrait conduire à la prise de contrôle de l'appareil.
Le groupe de ransomware Akira cible l'entreprise suédoise Tietoevry
Le groupe de ransomware Akira a compromis des comptes qui n'étaient pas protégés par MFA pour lancer une attaque qui a mis hors service les centres de données de la société suédoise Tietoevry.
LockBit cible Capital Health dans une attaque par ransomware
Le groupe de ransomware LockBit a revendiqué une attaque contre Capital Health, un fournisseur de soins de santé primaires dans le New Jersey et la Pennsylvanie, qui a extrait des données médicales sensibles de patients à des fins d'extorsion. Les tactiques de LockBit consistent à exploiter les vulnérabilités d'AD.