Les cyberattaques ciblant Active Directory sont de plus en plus nombreuses, ce qui oblige les équipes chargées d'AD, de l'identité et de la sécurité à surveiller l'évolution constante du paysage des menaces centrées sur l'AD. Pour aider les professionnels de l'informatique à mieux comprendre et à se prémunir contre les attaques impliquant AD, l'équipe de recherche de Semperis propose ce récapitulatif mensuel des cyberattaques récentes qui ont utilisé AD pour introduire ou propager des logiciels malveillants.
Ce mois-ci, l'équipe de recherche de Semperis met en lumière les aspects liés à l'identité dans l'affaire SolarWinds, ainsi que les attaques contre une compagnie d'électricité au Brésil et un système scolaire à New York.
Les auditions de SolarWinds ont mis en évidence les lacunes en matière de sécurité des identités
Lors de la première audition publique du Congrès sur la faille de SolarWinds, des responsables technologiques de SolarWinds, Microsoft, FireEye et CrowdStrike ont témoigné devant la commission sénatoriale du renseignement sur les facteurs qui ont conduit à l'attaque. Le président de Microsoft, Brad Smith, a déclaré que les attaquants s'étaient introduits dans les systèmes de certains clients par le biais de systèmes sur site, avaient accédé aux informations d'identification d'ADministrateur, puis avaient escaladé vers des services en ligne tels qu'Office 365. Selon Kevin Mandia, PDG de FireEye, les attaquants ont également utilisé des méthodes courantes telles que la pulvérisation de mots de passe.
Sean Deuby, directeur des services de Semperis, a déclaré dans Enterprise Security Tech que certaines des tactiques utilisées dans la violation n'étaient pas "des tactiques hautement sophistiquées, réservées aux États-nations ; il s'agit de méthodes éprouvées utilisées largement par tous les mauvais acteurs pour s'introduire dans Active Directory dans les organisations du monde entier".
Attaque d'une compagnie d'électricité brésilienne contre l'AD compromise
Le groupe Darkside a exécuté une attaque par ransomware contre la société brésilienne de distribution d'électricité Copel en accédant à la solution de gestion des accès privilégiés CyberArk de l'entreprise. Les attaquants affirment avoir volé des informations sensibles, notamment des plans de réseau, des schémas et des programmes de sauvegarde, ainsi que des zones de domaine pour le site web public et l'intranet de Copel. Ils affirment également avoir compromis le fichier NTDS.dit de l'Active Directory.
L'Active Directory est la cible d'une attaque de logiciels malveillants dans des écoles new-yorkaises
Une attaque de logiciels malveillants sur les écoles centrales de Victor à New York a crypté les données et les systèmes, y compris l'Active Directory, ce qui a entraîné la fermeture de l'école pendant une semaine. Aucune donnée personnelle ou financière n'a été compromise ; ces informations étaient stockées dans des serveurs hors site. Le ministère de la sécurité intérieure et le FBI enquêtent actuellement sur cette attaque de logiciels malveillants.
Plus de ressources
Vous souhaitez renforcer les défenses de votre Active Directory contre les cyberattaques ? Consultez nos dernières ressources.