Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, les ramifications de la brèche Okta s'étendent, les attaquants ciblent l'Active Directory d'une agence spatiale japonaise et le groupe de ransomware BlackCat/ALPHV lance des attaques répétées contre l'entreprise de soins de santé Henry Schein.
L'attaque d'Okta a compromis les données des utilisateurs du service clientèle
Les attaquants qui ont ciblé Okta lors d'une attaque en octobre ont obtenu des données d'utilisateurs du système de soutien à la clientèle. Okta a noté qu'un grand nombre des utilisateurs exposés étaient des administrateurs, dont certains n'avaient pas mis en œuvre le MFA, ce qui a incité l'entreprise à recommander la mise en œuvre du MFA pour l'accès des administrateurs, à exiger une réauthentification pour les sessions d'administration à partir de nouvelles adresses IP, à définir des délais d'attente pour les sessions d'administration et à accroître la vigilance à l'égard des tentatives d'hameçonnage.
Des pirates s'attaquent à l'Active Directory de l'agence spatiale japonaise
Une attaque contre l'agence spatiale japonaise JAXA a ciblé le serveur Active Directory de l'organisation, exposant potentiellement des informations critiques, notamment les informations d'identification des employés.
L'entreprise de soins de santé Henry Schein subit une nouvelle attaque de BlackCat/ALPHV
Le grand fournisseur américain de produits et services de santé Henry Schein a subi une deuxième attaque en novembre, après que le groupe de ransomware BlackCat/ALPHV ait ciblé l'entreprise pour la première fois en octobre. L'attaque a mis hors service certaines de ses applications et sa plateforme de commerce électronique. ALPHV/BlackCat cible souvent Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants.
MOVEit attaque le fournisseur de soins de santé Welltok, AutoZone et l'État du Maine
Le fournisseur de soins de santé américain Welltok a déclaré avoir été victime de l'attaque des serveurs MOVEit Transfer lancée par le groupe de ransomware Clop, et que la violation a touché plus de 8 millions de personnes. AutoZone a également déclaré avoir été victime de l'attaque MOVEit, tout comme l'État du Maine.
LockBit revendique des attaques contre des entreprises du gouvernement canadien et contre Boeing
Le groupe de ransomware LockBit s'est rendu responsable d'attaques contre deux entreprises du gouvernement canadien qui ont exposé des informations sensibles sur des employés du gouvernement. LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des politiques de groupe AD pour chiffrer les appareils dans les domaines Windows. Le constructeur aérien Boeing a également déclaré avoir été victime d'une attaque LockBit.
Le groupe Black Basta à l'origine de l'attaque contre la bibliothèque publique de Toronto
Le groupe de ransomware Black Basta, qui cible notamment l'Active Directory des organisations, a revendiqué une attaque contre la bibliothèque publique de Toronto qui a compromis les informations personnelles d'employés, de clients, de bénévoles et de donateurs.