Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, Microsoft met en garde contre l'acteur Octo Tempest, le nouveau ransomware Rorschach (alias BabLock) frappe une société de télécommunications chilienne et ALPHV/BlackCat multiplie les attaques.
Microsoft met en garde contre l'acteur de menace Octo Tempest
Microsoft a publié un profil détaillé de l'acteur de menace Octo Tempest, qui s'associe au groupe de ransomware ALPHV/BlackCat pour lancer des attaques d'extorsion de données et de ransomware contre des organisations fournissant des services de télécommunications, de messagerie électronique et de technologie. Microsoft recommande, entre autres, de surveiller et d'examiner les processus liés à l'identité.
Le groupe Lazarus s'en prend à plusieurs reprises à des fournisseurs de logiciels et à des serveurs TeamCity
Le groupe de cybercriminels nord-coréens Lazarus a ciblé à plusieurs reprises un éditeur de logiciels pour déployer le logiciel malveillant SIGNBT et a revendiqué la responsabilité d'une attaque contre TeamCity, qui fabrique des serveurs d'intégration et de déploiement continus. Les méthodes de Lazarus consistent notamment à compromettre Active Directory pour obtenir des listes de comptes d'administrateurs.
Les télécoms chiliennes sont touchées par un nouveau ransomware de type Rorschach qui cible les contrôleurs de domaine
Grupo GTD, une entreprise de télécommunications chilienne qui offre des services dans toute l'Amérique latine, a été la cible d'un nouveau ransomware appelé Rorschach (alias BabLock), qui est déployé par le biais d'une technique de chargement latéral de DLL. Lorsqu'il est exécuté sur un domaine Windows, le rançongiciel crée une stratégie de groupe pour propager le logiciel malveillant à d'autres hôtes.
ALPHV/BlackCat viole Seiko, Florida circuit court, et MotelOne
Le groupe de ransomwares ALPHV/BlackCat a revendiqué des attaques contre l'horloger Seiko, le tribunal de Floride et la chaîne d'hôtels à bas prix MotelOne. ALPHV/BlackCat cible régulièrement Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants.
La plateforme de gestion de mots de passe 1Password visée par la faille Okta
Les cyberattaquants ont accédé au locataire Okta ID management de 1Password, une plateforme de gestion de mots de passe, bien que l'entreprise ait affirmé avoir mis fin à l'activité malveillante et n'avoir trouvé aucune preuve de compromission de données. (Pour plus d'informations sur la façon d'atténuer les vulnérabilités d'Okta, consultez le site Using Purple Knight to Detect the Okta Super Admin Attack - Semperis).
Sony victime de l'attaque MOVEit
Le géant du divertissement Sony a révélé que des informations sur ses employés ont été exposées lors des attaques sur la plateforme de transfert MOVEit menées par le groupe de ransomware Clop, qui utilise des méthodes comprenant la compromission des serveurs Active Directory (AD) des victimes et la diffusion de logiciels malveillants.