Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, le tour d'horizon comprend des attaques d'exploitation MOVEit à grande échelle par le groupe de ransomware Clop, des attaques BlackCat sur Reddit et le cabinet d'avocats australien HWL, et bien d'autres encore.
Le gang Clop revendique les attaques MOVEit
Le gang des ransomwares Clop a revendiqué la responsabilité d'attaques à grande échelle qui exploitent des vulnérabilités zero-day dans la solution de transfert de fichiers gérés MOVEit Transfer. Parmi les victimes figurent le département de l'éducation de la ville de New York, l'assureur Genworth Financial de Virginie, le California Public Employees' Retirement System (CalPERS), l'Office of Motor Vehicles de Louisiane et Driver & Motor Vehicle Services de l'Oregon. Les méthodes d'attaque de Clop consistent à cibler l'ensemble du réseau de la victime en compromettant le serveur Active Directory (AD) et en diffusant des logiciels malveillants.
Microsoft corrige une faille d'autorisation permettant la prise de contrôle de comptes Azure AD
Microsoft a publié un correctif pour une faille d'authentification dans Azure AD qui permet à des acteurs malveillants d'élever leurs privilèges et de prendre le contrôle de comptes. Parmi les organisations vulnérables à cette mauvaise configuration figurent une application de conception, une société d'expérience client et une société de conseil multi-cloud.
Grafana publie un correctif pour une faille permettant de contourner l'authentification Azure AD
Grafana, une application open-source d'analyse et de visualisation, a publié des correctifs de sécurité pour remédier à une vulnérabilité qui permet aux cyberattaquants de contourner l'authentification Azure AD et de prendre le contrôle des comptes Grafana.
Le groupe de ransomware ALPHV/BlackCat menace de divulguer des données provenant de la faille de Reddit
Le groupe de ransomware BlackCat (alias ALPHV) a revendiqué l'attaque de février sur Reddit et a menacé de divulguer des données si les demandes de rançon n'étaient pas satisfaites. BlackCat a également revendiqué une attaque en avril contre la société australienne HWL Ebsworth et a publié 1,45 To de données volées. Soupçonné d'être lié à REvil et au groupe BlackMatter (Darkside) qui a frappé Colonial Pipeline en mai 2021, BlackCat cible Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants.