Alors que les cyberattaques ciblant Active Directory continuent de se multiplier, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes et fournit des ressources supplémentaires pour se prémunir contre les attaques liées à l'identité. Dans le bulletin de ce mois-ci, LockBit vole les données de London Drugs, Live Nation confirme une violation de données de Ticketmaster impliquant un fournisseur tiers, et Okta met en garde contre les attaques par bourrage d'identifiants.
LockBit vole les données du London Drugs dans une attaque par ransomware
Le groupe de ransomware LockBit a revendiqué une attaque en avril contre la chaîne canadienne London Drugs et a menacé de publier les données volées en ligne. LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des stratégies de groupe AD pour chiffrer les appareils dans les domaines Windows.
Prendre des mesures contre les attaques de ransomware : Voir les conseils de Mickey Bresman, PDG de Semperis, sur l'élaboration d'un plan de reprise des activités informatiques pour éviter l'extorsion par des gangs de ransomware tels que LockBit.
Live Nation confirme la violation des données de Ticketmaster par un fournisseur tiers
Le géant du divertissement Live Nation a annoncé que sa filiale Ticketmaster avait été victime d'une violation de données impliquant un fournisseur tiers de données dans le nuage qui serait Snowflake.
Prendre des mesures contre les incidents de sécurité des tiers : Les chercheurs de Semperis Eric Woodruff et Tomer Nahum ont publié une recherche originale sur une nouvelle technique d'attaque qu'ils ont baptisée Silver SAML. Leur article comprend des conseils pour détecter et prévenir les attaques de la chaîne d'approvisionnement.
Les cybercriminels ciblent le VPN à distance de Check Point dans un exploit de type "zero-day
Check Point a mis en garde ses clients contre un exploit de type "zero-day" ciblant leur service VPN à distance, qui a permis à des acteurs de la menace de voler des données Active Directory permettant une escalade des privilèges. Les attaquants ciblent les passerelles de sécurité en utilisant d'anciens comptes locaux VPN avec une authentification par mot de passe non sécurisée. Les correctifs recommandés comprennent la rotation des mots de passe pour les connexions LDAP de la passerelle à AD et la recherche de comportements anormaux et de connexions suspectes dans les journaux.
Prendre des mesures contre les tentatives d'escalade des privilèges : Pour des conseils détaillés sur la prévention des attaques qui utilisent des requêtes LDAP pour accéder à des actifs sensibles, voir le blog Top Active Directory Hardening Strategies de Sean Deuby, technologue principal chez Semperis.
Okta signale des attaques par bourrage d'informations d'identification ciblant les points finaux
Le fournisseur de services d'identité Okta a mis en garde ses clients contre une attaque par bourrage d'informations d'identification visant sa fonction d'authentification Customer Identity Cloud (CIC).
Prenez des mesures contre les attaques par saturation des données d'identification : Découvrez comment Semperis Lightning Identity Runtime Protection (IRP) permet de se prémunir contre les attaques par bourrage d'informations d'identification, y compris la pulvérisation de mots de passe.