Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met l'accent sur les cyberattaques liées à l'identité, notamment l'escalade des cyberattaques russes contre les agences fédérales américaines, l'attaque parrainée par un État contre une administration locale américaine qui a exploité des bogues dans un appareil Fortinet, l'attaque Colonial Pipeline, qui a ciblé des vulnérabilités Windows, l'attaque MountLocker ransomware, qui a exploité les API de Windows Active Directory, et plus encore.
Microsoft signale que les cybercriminels russes à l'origine de l'attaque SolarWinds redoublent d'efforts
Dans un billet de blog, Tom Burt, vice-président de Microsoft, prévient que les cybercriminels russes à l'origine de l'attaque SolarWinds intensifient leurs efforts, en lançant une attaque qui a permis d'accéder aux comptes de courrier électronique d'environ 150 organisations par l'intermédiaire de Constant Contact, un service de marketing par courrier électronique utilisé par l'Agence des États-Unis pour le développement international (USAID).
FBI : Des cybercriminels de l'APT ont exploité des bogues de Fortinet pour attaquer les autorités locales américaines
Le FBI rapporte que des acteurs de menaces persistantes avancées (APT) parrainés par un État ont exploité les faiblesses d'une appliance Fortinet pour s'introduire dans les serveurs web d'une organisation gouvernementale locale américaine. Après avoir obtenu l'accès, les cybercriminels se sont déplacés latéralement dans le réseau pour créer de nouveaux comptes d'utilisateurs de contrôleurs de domaine, de serveurs et de postes de travail.
Les attaquants de Colonial Pipeline ont ciblé les vulnérabilités de Windows, notamment AD
L'attaque par ransomware de Colonial Pipeline, qui a entraîné la fermeture de 5 500 miles de pipeline de carburant, a démontré une fois de plus que le groupe de ransomware responsable de l'attaque, DarkSide, cible de préférence les vulnérabilités de Windows, selon le directeur des services de Semperis, Sean Deuby, dans un rapport sur la cybersécurité en Asie.
L'attaque Conti contre les services de santé irlandais s'est appuyée sur l'accès aux informations d'identification du domaine Windows
Conti, le groupe responsable de la cyberattaque contre les services de santé irlandais, a appliqué une méthode éprouvée consistant à utiliser des attaques par hameçonnage pour installer des chevaux de Troie permettant d'accéder à distance aux machines infectées, à tirer parti de cet accès pour accéder aux informations d'identification du domaine Windows, puis à déployer des logiciels rançonneurs sur le réseau.
Le ransomware MountLocker exploite les API de Windows Active Directory
Selon un rapport de Bleeping Computer, le ransomware en tant que service MountLocker utilise désormais les API de Windows Active Directory pour envahir les réseaux. Après avoir utilisé l'API pour se connecter aux services AD de la victime, les attaquants MountLocker peuvent trouver des appareils dans le domaine compromis et les chiffrer à l'aide des identifiants de domaine volés.
La CISA demande une révision des autorisations pour lutter contre la variante de ransomware FiveHands
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti qu'une variante relativement nouvelle de ransomware, appelée FiveHands, exploite des vulnérabilités technologiques de Microsoft. La CISA recommande des mesures préventives, notamment la mise en place d'un compte de moindre privilège et l'activation de l'authentification multifactorielle sur les comptes privilégiés.
Le comté de Californie du Nord doit remédier à l'attaque d'un ransomware et rétablir l'AD
L'équipe informatique du comté de Yuba, en Californie, a fourni un compte rendu détaillé de son rétablissement après une attaque de ransomware, qui comprenait la restauration d'Active Directory après que les cybercriminels aient créé un compte administrateur d'entreprise frauduleux et crypté 50 PC et 100 serveurs.
Un analyste présente ses conclusions selon lesquelles des autorisations erronées ont conduit à une violation des dossiers médicaux des vétérans
Selon un analyste, jusqu'à 200 000 dossiers médicaux de patients d'ADministration américaine des vétérans pourraient avoir été compromis par un ransomware qui exploite une base de données laissée ouverte par un fournisseur, permettant à quiconque de modifier des dossiers sans disposer d'identifiants administratifs et d'exposer des mots de passe et des informations relatives à la facturation.
Rapport : Les opérations risquées d'Exchange en tête de la liste de détection des menaces d'Azure Active Directory
Un nouveau rapport sur les détections de menaces pour Azure Active Directory et Office 365 a identifié les opérations d'échange risquées comme les principales menaces en fonction de la fréquence, et met en évidence les défis de la gestion des autorisations dans les environnements d'identité hybrides.
Les mesures préventives prises par Bose après l'attaque comprenaient la réinitialisation des mots de passe et une surveillance accrue des changements de compte
Après avoir été touché par un ransomware qui a compromis les données de certains clients, le fabricant d'équipements audio Bose a mis en œuvre des mesures préventives contre de futures attaques, notamment la réinitialisation des mots de passe pour tous les utilisateurs finaux et les comptes privilégiés, l'amélioration de la surveillance et de la journalisation pour détecter les modifications futures des comptes, et la modification des clés d'accès pour tous les comptes de service.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.