Alors que les cyberattaques ciblant Active Directory continuent d'augmenter, les équipes chargées de la sécurité AD, de l'identité et de l'informatique sont confrontées à une pression croissante pour surveiller l'évolution du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à comprendre et à prévenir les attaques qui impliquent AD, l'équipe de recherche de Semperis publie un récapitulatif mensuel des cyberattaques récentes. Ce mois-ci, une attaque liée à l'identité cible Johnson Controls, la faille MOVEit fait de nouvelles victimes au Canada et aux États-Unis, et le groupe Royal ransomware revendique la faille de la ville de Dallas.
Les appareils de Johnson Controls cryptés lors d'une attaque par ransomware
La société d'automatisation Johnson Controls a signalé des pannes informatiques de grande ampleur après qu'une attaque par ransomware a crypté des appareils dans l'ensemble de l'organisation. Un chercheur en menaces a découvert une note de ransomware affirmant que les attaquants ont utilisé un crypteur VMware ESXi développé par Dark Angels, un groupe de ransomware qui utilise diverses tactiques pour pénétrer dans les réseaux et se déplacer latéralement pour prendre le contrôle des contrôleurs de domaine Windows.
La faille MOVEit fait des victimes au Canada et aux États-Unis
Les attaques de vol de données MOVEit par le groupe de ransomware Clop ont fait plusieurs victimes au Canada et aux États-Unis, notamment l'Hospital for Sick Children, le registre des enfants de l'Ontario BORN et la National Student Clearinghouse aux États-Unis. Les méthodes d'attaque de Clop consistent à cibler l'ensemble du réseau de la victime en compromettant le serveur Active Directory (AD) et en diffusant des logiciels malveillants.
Un groupe de ransomware royal revendique une atteinte à la sécurité de la ville de Dallas
Une attaque contre la ville de Dallas en mai, qui a entraîné l'arrêt des systèmes informatiques, a été revendiquée par le groupe Royal ransomware, qui a volé un compte de service de domaine que les attaquants ont ensuite utilisé pour exfiltrer des fichiers et déposer des charges utiles Cobalt Strike.
BlackCat/ALPHV vise un groupe de casinos
Le groupe de ransomware BlackCat/ALPHV a revendiqué une attaque contre MGM qui a perturbé les opérations. BlackCat/ALPHV, qui cible régulièrement Active Directory pour s'introduire dans les systèmes d'information avant de diffuser des logiciels malveillants, utilise également l'encrypteur Sphynx pour cibler les comptes de stockage dans le nuage Azure.
Les attaquants iraniens d'APT33 s'en prennent aux organisations de défense dans des attaques par pulvérisation de mots de passe ciblant Entra ID (Azure AD)
Microsoft a signalé que le groupe cybercriminel iranien APT33 a utilisé des tactiques de pulvérisation de mots de passe pour accéder aux informations d'identification d'Entra ID (Azure AD) dans des brèches généralisées contre des organisations de défense mondiales.