Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les cyberattaques liées à l'identité, notamment les abus de LockFile sur les failles ProxyShell et PetitPotam, la montée en puissance des attaques LockBit 2.0 et l'expansion des exploits Hive.
Les attaquants de LockFile accélèrent l'utilisation des failles ProxyShell Exchange Server et PetitPotam
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que les auteurs de LockFile exploitent activement la faille ProxyShell Exchange Server et la vulnérabilité PetitPotam pour accéder à Active Directory et aux réseaux correspondants et y déposer ensuite des logiciels malveillants.
LockBit 2.0 attaque la surenchère
L'augmentation des attaques LockBit 2.0, dont une violation des systèmes de la société de conseil Accenture, a incité le Centre australien de cybersécurité à lancer un avertissement concernant une "augmentation forte et significative" des attaques signalées. LockBit 2.0 crypte automatiquement les appareils dans les domaines Windows en abusant des politiques de groupe de l'Active Directory.
Le démantèlement d'un système de santé par une ruche déclenche une alerte du FBI
Le FBI a publié une alerte et une liste de indicateurs de compromis (IOCs) associée au ransomware Hive après que le groupe a mis hors service le Memorial Health System, qui opère dans l'Ohio et en Virginie. Entre autres tactiques, Hive utilise un logiciel d'administration à distance tel que ConnectWise pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement Active Directory.
Une filiale de Nokia victime d'une attaque par ransomware de Conti
SAC Wireless, une filiale de Nokia, a été victime d'une attaque de ransomware par le groupe Conti, qui s'est introduit dans le réseau, a volé des données et a crypté les systèmes. Cette attaque a incité l'entreprise à renforcer les politiques d'accès aux systèmes et à étendre les exigences en matière d'authentification multifactorielle (MFA), entre autres mesures correctives.
L'attaque d'un hôpital du Nevada est suspectée d'être le fait d'un REvil
L'University Medical Center Southern Nevada a signalé une attaque par ransomware qui, selon les analystes, pourrait être l'œuvre du groupe REvil, qui utilise diverses tactiques pour pénétrer dans les systèmes, y compris l'exploitation des privilèges d'administrateur.
Le développeur de jeux Crytek signale une attaque par le ransomware Egregor
Le groupe Egregor, spécialisé dans les ransomwares en tant que service, s'est introduit dans les systèmes d'information du développeur de jeux Crytek, cryptant les données et dérobant des informations sur les clients. Egregor, qui est à l'origine d'attaques notoires contre les détaillants Barnes & Noble et Kmart, exploite les mauvaises configurations de l'Active Directory pour pénétrer dans les réseaux.
Les menaces de BazaCall utilisent les centres téléphoniques pour diffuser des logiciels malveillants
Microsoft a renforcé ses avertissements concernant les menaces BazaCall, qui incitent les victimes à appeler un centre téléphonique frauduleux et à télécharger le ransomware BazaLoader en étant guidées pas à pas par des opérateurs humains. Après l'intrusion initiale, les attaquants utilisent ADFind (un outil gratuit de découverte d'AD en ligne de commande) pour intensifier la reconnaissance des systèmes des victimes.