Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per tenere sotto controllo il panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono Active Directory, il team di ricerca di Semperis pubblica una carrellata mensile degli attacchi informatici recenti. Nella raccolta di questo mese, LockBit prende di mira i server di Papercut, BlackBasta colpisce le Pagine Gialle canadesi e BlackCat/ALPHV compromette il sistema POS (point-of-sale) Aloha di NCR.
Attacchi Papercut attribuiti ai gruppi di ransomware Clop e LockBit
Microsoft ha attribuito gli attacchi al software di gestione della stampa Papercut ai gruppi di ransomware Clop e LockBit. Le tattiche di LockBit includono lo sfruttamento delle vulnerabilità dei Criteri di gruppo di Active Directory.
Black Basta rivendica gli attacchi alle Pagine Gialle canadesi e a Capita
Il gruppo Ransomware-as-a-service (RaaS) Black Basta ha rivendicato la responsabilità di un attacco all'editore canadese Yellow Pages Group. Black Basta utilizza varie tattiche per compromettere i sistemi, tra cui la distribuzione di QBot, che estrae le credenziali di dominio di Windows e poi rilascia il malware sui dispositivi infetti. Black Basta ha anche rivendicato un attacco a Capita, un gruppo di outsourcing con sede a Londra. L'attacco ha impedito l'accesso alle applicazioni Microsoft Office 365 di Capita.
BlackCat/ALPHV rivendica l'attacco all'NCR
BlackCat ha colpito la piattaforma Aloha POS di NCR con un attacco che ha preso di mira i suoi data center, causando un'interruzione che ha influito sulle operazioni di routine, tra cui i servizi di payroll. Le tattiche di BlackCat includono l'attacco ai server Exchange per raccogliere le informazioni di Active Directory necessarie per compromettere l'ambiente e rilasciare payload di crittografia dei file.