Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière l'activité accrue de Conti, les attaquants BlackCat ciblant les serveurs Exchange, et bien d'autres choses encore.
Le groupe Conti attaque 40 organisations en un mois
Le groupe Conti ransomware-as-a-service (RaaS) a mené une campagne qui a permis d'atteindre plus de 40 organisations en un mois à la fin de l'année 2021. Conti, dont la tactique consiste notamment à compromettre les identifiants de domaine Active Directory, surveille fréquemment les mises à jour de Windows et analyse les changements apportés par les nouveaux correctifs afin de découvrir de nouvelles approches d'attaque.
CISA invite les organisations à adopter Exchange Online Modern Auth
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté les agences et les organisations privées qui utilisent la plateforme de messagerie en nuage Microsoft Exchange à passer des anciens modèles d'authentification à Modern Auth (Active Directory Authentication Library et OAuth 2.0 token-based authentication) afin de se prémunir contre les attaques par pulvérisation de mot de passe.
Les attaquants BlackCat ciblent les serveurs Exchange pour recueillir des informations sur l'Active Directory
Microsoft a récemment averti que le groupe de ransomware BlackCat cible désormais les serveurs Exchange afin de collecter les informations Active Directory nécessaires pour compromettre l'environnement et déposer des charges utiles de cryptage de fichiers. Outre la mise à jour des serveurs Exchange et la surveillance de l'accès au réseau externe, Microsoft recommande aux entreprises de revoir leur position en matière de sécurité des identités.
Le groupe de ransomware Vice Society attaque la ville italienne de Palerme
Vice Society, qui exploite des vulnérabilités connues sur des systèmes non corrigés - dont la faille PrintNightmare - a revendiqué la responsabilité d'une cyberattaque à Palerme, en Italie. Cette attaque a provoqué une panne à grande échelle des services en ligne.
Le groupe Black Basta s'associe à QBot pour compromettre les environnements d'entreprise
Black Basta, un nouveau groupe de ransomware, a rapidement réussi à compromettre les environnements d'entreprise en s'associant aux créateurs de QBot (alias QuakBot), un logiciel malveillant pour Windows qui vole les identifiants bancaires et les identifiants de domaine Windows, puis diffuse des logiciels malveillants sur les appareils infectés.