Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, les attaques d'exploitation MOVEit font de nouvelles victimes, Microsoft signale des violations de comptes de messagerie impliquant une clé de signature d'entreprise Azure AD volée, et BlackCat et Clop revendiquent des attaques contre la société de produits de beauté Estée Lauder.
Des cybercriminels chinois utilisent une clé de signature Azure AD volée pour compromettre des comptes de messagerie électronique
Microsoft a signalé qu'un groupe de cyber-espionnage chinois appelé Storm-0558 a utilisé une clé de signature d'entreprise Azure AD volée pour s'introduire dans les comptes de messagerie d'environ 25 organisations, y compris, semble-t-il, les départements d'État et du Commerce des États-Unis.
La Deutsche Bank, Maximus et l'État du Colorado s'ajoutent à la liste des victimes de la faille MOVEit
L'entreprise de services publics américaine Maximus, la Deutsche Bank et l'Université d'État du Colorado sont trois des dernières victimes à avoir signalé que leurs données avaient été compromises lors des récentes attaques de vol de données par MOVEit Transfer. Le groupe de ransomware Clop a exploité une faille zero-day dans l'application de transfert de fichiers pour pénétrer dans des entreprises du monde entier, dont le fournisseur d'assurances Genworth Financial en Virginie et le California Public Employees' Retirement System (CalPERS). Les méthodes d'attaque de Clop consistent à cibler l'ensemble du réseau de la victime en compromettant le serveur Active Directory (AD) et en diffusant des logiciels malveillants.
ALPHV/BlackCat et Clop revendiquent des attaques contre la société de produits de beauté Estée Lauder
ALPHV/BlackCat et Clop ont tous deux revendiqué des cyberattaques contre le géant de la beauté Estée Lauder Companies, Clop ayant apparemment obtenu l'accès par le biais de la vulnérabilité MOVEit Transfer. BlackCat s'est plaint du refus de l'entreprise d'entamer des négociations, puis a publié une API pour son site de fuite dans le but d'accroître la visibilité de ses attaques et de faire pression sur les victimes pour qu'elles paient une rançon, une tactique que Clop a rapidement copiée en créant des sites web hébergés sur l'internet et dédiés à des victimes spécifiques.