Les cyberattaquants ciblent de plus en plus Active Directory, ce qui oblige les équipes chargées de la sécurité des identités et d'Active Directory (AD) à surveiller l'évolution constante du paysage des menaces centrées sur AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière de nouvelles attaques menées par divers groupes de ransomware bien établis : Vice Society poursuit sa campagne contre les entités du secteur public, notamment les écoles et les service d'incendie et de secours, Sandworm déploie diverses formes de logiciels malveillants d'effacement de données sur des cibles ukrainiennes, et LockBit frappe Royal Mail et la société de chemins de fer et de locomotives Wabtec.
Le logiciel malveillant d'effacement de données SwiftSlicer, attribué à Sandworm, touche une cible ukranienne
SwiftSlicer, un nouveau logiciel malveillant d'effacement de données qui écrase des fichiers cruciaux utilisés par le système d'exploitation Windows, a été utilisé dans une attaque contre l'Ukraine attribuée à Sandworm, un groupe de cybercriminels travaillant pour le gouvernement russe. Le groupe Sandworm a utilisé la stratégie s'est servi de la politique de groupe Active Directory pour lancer SwiftSlicer.
Sandworm attaque l'agence de presse ukrainienne avec des effaceurs de données
Sandworm a utilisé cinq types de wiperware pour tenter de mettre hors service les systèmes de données d'Ukrinform, l'agence de presse nationale ukrainienne. Les logiciels malveillants comprenaient CaddyWiper, ZeroWipe et SDelete, qui ciblent tous le système d'exploitation Windows. Les attaquants ont utilisé la stratégie de groupe d'Active Directory pour lancer le logiciel malveillant CaddyWiper. Bien que l'attaque ait détruit des fichiers sur certains systèmes de stockage de données, elle n'a pas réussi à perturber les opérations d'Ukrinform.
La Vice Society poursuit ses attaques contre les organisations du secteur public mondial dans le cadre d'AD
Le gang de ransomware Vice Society a poursuivi sa campagne contre les écoles et les universités avec une attaque contre l'université de Duisburg-Essen en Allemagne qui a perturbé les opérations informatiques et exposé des données personnelles sur les étudiants et le personnel. Vice Society a également revendiqué une attaque contre Fire Rescue Victoria, en Australie, qui a affecté les services internes et compromis les données des employés. Vice Society, qui utilise des ransomwares tels que BlackCat pour compromettre Active Directory et prendre le contrôle de l'environnement réseau de l'organisation victime, est également responsable de l'attaque de l'été 2022 contre le Los Angeles Unified School District, le deuxième plus grande commission scolaire des États-Unis.
Le gang du ransomware LockBit est lié à des attaques contre Royal Mail et la société ferroviaire et de locomotives Wabtec
Un ransomware crypteur LockBit a été utilisé dans une attaque contre Royal Mail, le plus grand service de livraison de courrier du Royaume-Uni, qui a perturbé les services d'exportation internationaux. LockBit a également ciblé le fabricant américain de locomotives et de rails Wabtec dans une attaque qui a entraîné la fuite d'informations personnelles et sensibles après que Wabtec a refusé de payer la rançon. Le groupe LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des politiques de groupe AD pour chiffrer les appareils dans les domaines Windows.