Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière de nouvelles attaques de LockBit contre des entités publiques en Californie et au Portugal, une attaque de Hive contre un hôpital de Louisiane et une attaque de BlackCat contre le fournisseur d'énergie colombien EPM.
LockBit revendique une attaque contre le port de Lisbonne
Le groupe de ransomware LockBit a revendiqué une attaque menée le jour de Noël contre le port de Lisbonne, au Portugal, qui a compromis les données mais n'a pas affecté les opérations du port, bien que le site web officiel du port ait été mis hors ligne. Le port, considéré comme une infrastructure critique, est l'un des plus fréquentés d'Europe. Il accueille des porte-conteneurs, des bateaux de croisière et des bateaux de plaisance. LockBit a également revendiqué récemment une attaque contre le ministère des finances de Californie. Le groupe LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des politiques de groupe AD pour chiffrer les appareils dans les domaines Windows.
Le groupe Hive ransomware revendique l'attaque d'un hôpital en Louisiane
Le groupe de ransomware Hive a revendiqué la responsabilité d'une attaque de ransomware menée en octobre contre le Lake Charles Memorial Health System en Louisiane, qui a compromis les données d'environ 270 000 patients. Entre autres tactiques, Hive utilise un logiciel d'administration à distance pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement AD.
Le groupe de ransomware BlackCat frappe le fournisseur d'énergie colombien EPM
Une attaque BlackCat/ALPHV contre le fournisseur d'énergie colombien EPM a mis hors service l'un des plus grands fournisseurs d'énergie, d'eau et de gaz du pays. Microsoft a récemment averti que le groupe de ransomware BlackCat cible les serveurs Exchange afin de recueillir les informations Active Directory nécessaires pour compromettre l'environnement et déposer des charges utiles de cryptage de fichiers.