Alors que les cyberattaques ciblant Active Directory continuent de se multiplier, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes et fournit des ressources supplémentaires pour se prémunir contre les attaques liées à l'identité. Les attaques contre les hôpitaux londoniens, l'assureur australien Medibank et les clients de Snowflake soulignent la nécessité de renforcer la résilience opérationnelle en protégeant le système d'identité, notamment en appliquant des politiques de gestion des identités et des accès (MFA).
Les attentats perpétrés dans les hôpitaux londoniens appellent à un renforcement de la résilience opérationnelle
Une vague de cyberattaques visant des hôpitaux londoniens, dont le King's College Hospital et le Guy's Hospital, a provoqué d'importantes interruptions de service et a incité les organismes de santé à revoir leurs plans de protection des actifs critiques, y compris le système d'identité, afin d'assurer leur résilience opérationnelle.
Prenez des mesures pour garantir la résilience opérationnelle : Lisez les 5 étapes essentielles de l'ITDR que les RSSI doivent connaître pour obtenir des conseils sur la sécurité basée sur l'identité, l'automatisation de la réponse aux attaques et l'hypothèse du pire scénario dans la planification des désastres.
Des acteurs de la menace affirment avoir utilisé des informations d'identification volées pour contourner Okta et ouvrir une brèche dans Snowflake.
La société de cybersécurité Hudson Rock a rapporté que des acteurs menaçants ont affirmé avoir pénétré dans les comptes de stockage en nuage Snowflake en utilisant des identifiants volés pour contourner le processus d'authentification sécurisé d'Okta. Selon Hudson Rock, "un seul identifiant a permis d'exfiltrer potentiellement des centaines d'entreprises qui stockaient leurs données à l'aide de Snowflake, l'acteur de la menace lui-même suggérant que 400 entreprises étaient concernées".
Prenez des mesures pour sécuriser Okta : Téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité AD qui recherche plus de 150 indicateurs de sécurité pour Active Directory, Entra ID et Okta.
La cyberattaque de Medibank s'explique par l'absence de mise en œuvre de l'AMF
Le commissaire australien à l'information a publié un rapport détaillant les erreurs de configuration et les manquements à l'application des politiques d'AMF qui ont conduit à une cyberattaque contre l'assureur médical australien Medibank. Les auteurs de la menace ont utilisé des identifiants VPN volés pour se connecter au réseau interne de l'entreprise en utilisant uniquement un nom d'utilisateur et un mot de passe.
Prenez des mesures pour appliquer les politiques d'AFM : Consultez les conseils de Daniel Petri, responsable de la formation chez Semperis, pour éviter la lassitude et garantir l'authentification à deux facteurs pour les comptes sensibles, y compris les comptes d'administration d'Active Directory.
L'attaque de l'Ascension est due à un fichier malveillant téléchargé par un employé
Un fichier malveillant téléchargé par un employé dans ce qu'Ascension a appelé "une erreur honnête" a déclenché la cyberattaque revendiquée par le groupe Black Basta ransomware-as-a-service (RaaS) qui a provoqué la mise hors ligne des services du système hospitalier en mai. Black Basta utilise diverses tactiques pour compromettre les systèmes, notamment le déploiement de QBot, qui extrait les informations d'identification du domaine Windows et dépose ensuite des logiciels malveillants sur les appareils infectés.
Prenez des mesures pour sécuriser Active Directory contre les accès non autorisés : Apprenez à utiliser la délégation par paliers et la gestion des listes de contrôle d'accès pour empêcher les acteurs menaçants d'accéder aux actifs critiques.