Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les attaques de ransomware en Ukraine liées au groupe russe Sandworm, les attaques du groupe LockBit contre le comté de Virginie et le groupe automobile allemand Continental, ainsi que les attaques de la Vice Society contre le Cincinnati College, l'une des nombreuses attaques du groupe contre des établissements d'enseignement.
Les attaques de ransomware en Ukraine sont liées au groupe russe Sandworm
Les récentes attaques contre l'Ukraine ont été liées au groupe cybercriminel russe Sandworm, qui utilise RansomBoggs-.NET ransomware distribué à partir de contrôleurs de domaine pour chiffrer les fichiers. Le groupe Sandworm, actif depuis les années 1990, est soupçonné d'avoir développé le ransomware NotPetya qui a ciblé la compagnie maritime Maersk, entre autres organisations, en 2017.
Le gang LockBit revendique des attaques contre un comté de Virginie et le groupe automobile Continental
Le groupe de ransomware LockBit 3.0 a revendiqué des cyberattaques contre le comté de Southampton, en Virginie, qui ont compromis des données personnelles, notamment des numéros de permis de conduire et des numéros de sécurité sociale. LockBit a également revendiqué une attaque contre le groupe automobile allemand Continental.
Le groupe Vice Society revendique l'attaque du Cincinnati College
Le groupe de ransomware Vice Society a revendiqué une attaque de ransomware contre le Cincinnati College qui a mis hors service les réseaux du campus, y compris le courrier électronique, l'accès à l'internet et les ordinateurs des salles de classe. Vice Society, qui a ciblé des établissements d'enseignement de la maternelle à la terminale et des universités, utilise des ransomwares tels que BlackCat pour compromettre Active Directory et prendre le contrôle de l'environnement réseau de l'organisation victime.
Le groupe de ransomware Black Basta cible le détaillant alimentaire canadien Sobeys
Le géant canadien de la distribution alimentaire Sobeys a subi une attaque de ransomware revendiquée par le groupe de ransomware Black Basta qui a causé des problèmes informatiques à l'échelle de l'entreprise. Bien que les magasins soient restés ouverts, les services en magasin, y compris la délivrance d'ordonnances, ont été retardés. Black Basta utilise diverses tactiques pour compromettre les systèmes, notamment le déploiement de QBot, qui extrait les informations d'identification du domaine Windows et dépose ensuite des logiciels malveillants sur les appareils infectés.
Plus de ressources
- SyncJacking : la vulnérabilité Hard Matching permet la prise de contrôle de comptes Azure AD | Semperis
- Active Directory Forest Recovery Semperis présente un nouvel outil de provisionnement du système d'exploitation
- Pourquoi les instantanés DC ne remplacent pas les sauvegardes Active Directory | Semperis