Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière l'émergence du Bloody Ransomware Gang, une campagne d'empoisonnement SEO qui pourrait conduire à une compromission de l'Active Directory, et de multiples attaques revendiquées par le groupe de ransomware Hive.
Un nouveau groupe de ransomware utilise une fuite du constructeur de LockBit pour attaquer une entité ukrainienne
Le Bloody Ransomware Gang, qui a commencé à opérer en mai 2022 en attaquant des cabinets médicaux et dentaires new-yorkais, a utilisé un générateur de ransomware LockBit 3.0 qui a été divulgué sur Twitter pour lancer des attaques contre une organisation ukrainienne. Le groupe LockBit utilise diverses tactiques, techniques et procédures (TTP) pour compromettre les organisations victimes, notamment en abusant des stratégies de groupe AD pour chiffrer les appareils dans les domaines Windows.
Une campagne d'empoisonnement des moteurs de recherche compromet plusieurs organisations
Des cybercriminels ont utilisé une campagne d'empoisonnement SEO pour attaquer plusieurs organisations en ciblant les employés qui utilisent certains termes de recherche et en les amenant à cliquer sur des résultats de recherche malveillants. Les victimes qui cliquent sur les ressources proposées dans de fausses pages de forum déclenchent des logiciels malveillants qui collectent des informations sur l'utilisateur susceptibles d'exposer le nom de domaine interne de l'organisation, ce qui pourrait compromettre l'Active Directory.
Lapsus$ s'introduit dans les systèmes internes d'Uber
Le groupe de cybercriminels adolescents Lapsus$ a revendiqué une attaque qui a compromis les systèmes d'Uber, notamment son canal Slack et ses sites web intranet. Microsoft a mis en garde contre diverses tactiques utilisées par Lapsus$, notamment l'exploitation de failles dans des outils tels que Confluence et GitLab pour obtenir des identifiants de comptes privilégiés et utiliser une commande Microsoft intégrée (ntdsutil) pour extraire la base de données AD d'un réseau ciblé.
Le groupe Hive revendique des attaques contre des organisations à New York et au Canada
Le groupe de ransomware Hive a revendiqué des attaques l'été dernier contre la New York Racing Association et Empress EMS, un fournisseur de services d'urgence et d'ambulances basé à New York. Hive a également revendiqué récemment une attaque contre Bell Technical Solutions, une filiale de Bell Canada. Entre autres tactiques, Hive utilise un logiciel d'administration à distance pour infiltrer les systèmes et établir une persistance, puis déploie des outils tels qu'ADRecon pour cartographier l'environnement AD.
BlackCat revendique l'attaque d'une agence italienne de l'énergie
Le groupe de ransomware BlackCat (alias AlphV) a revendiqué une attaque contre l'agence énergétique italienne Gestore dei Servizi Energetici SpA (GSE) qui a mis hors service son site web et d'autres systèmes. Microsoft a récemment averti que le groupe BlackCat ransomware cible les serveurs Exchange afin de recueillir les informations Active Directory nécessaires pour compromettre l'environnement et déposer des charges utiles de cryptage de fichiers.
Plus de ressources
