Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica una carrellata mensile di recenti attacchi informatici. Nella raccolta di questo mese, la Spagna avverte di attacchi di phishing che hanno utilizzato il ransomware LockBit Locker, il gruppo Rhysida ransomware ha rivendicato un attacco a Prospect Medical e BlackCat ha preso di mira il produttore di orologi Seiko.
La campagna ransomware LockBit Locker prende di mira gli studi di architettura in Spagna
Un gruppo di ransomware ritenuto non affiliato al gruppo LockBit ha utilizzato la tecnologia di crittografia LockBit Locker in una campagna contro aziende di architettura spagnole. La campagna utilizza e-mail di phishing che impersonano un negozio di fotografia per ottenere l'accesso ai privilegi di amministrazione sui computer Windows.
Il gruppo Rhysida rivendica l'attacco al Prospect Medical
Il gruppo Rhysida ransomware ha rivendicato un attacco a Prospect Medical Holdings che ha estratto 500.000 numeri di previdenza sociale, documenti aziendali e cartelle cliniche dei pazienti. Tra le altre tattiche, Rhysida utilizza uno script PowerShell per compromettere i computer, tra cui la terminazione delle configurazioni RDP e la modifica delle password di Active Directory.
BlackCat rivendica l'attacco al produttore di orologi Seiko
Il produttore giapponese di orologi Seiko ha subito un attacco ransomware da parte del gruppo BlackCat/ALPHV che ha fatto trapelare piani di produzione, scansioni dei passaporti dei dipendenti, risultati di test di laboratorio e informazioni sul design degli orologi. BlackCat prende di mira Active Directory per accedere ai sistemi informatici prima di rilasciare il malware.
Un gruppo di ransomware cubano prende di mira le infrastrutture critiche negli Stati Uniti e in America Latina
Il gruppo di ransomware Cuba ha compromesso organizzazioni di infrastrutture critiche negli Stati Uniti e in America Latina sfruttando una vulnerabilità nel protocollo NetLogon di Microsoft per condurre un'escalation di privilegi contro i controller di dominio Active Directory.
La violazione di MOVEit si estende a Colorado, Missouri e all'appaltatore governativo Serco.
La violazione di MOVEit condotta dal ransomware Clop ha colpito altre vittime, tra cui il Colorado Department of Health Care Policy & Financing (HCPF), il Missouri Department of Social Services e l'appaltatore governativo statunitense Serco. I metodi di attacco di Clop includono il colpire l'intera rete della vittima compromettendo il server Active Directory (AD) e rilasciando il malware.
Altre risorse
