Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti attacchi informatici. Nella carrellata di questo mese di attacchi legati all'identità, il gruppo ransomware Rhysida rivendica attacchi al Lurie Children's Hospital e alla filiale di Sony Insomniac Games, BlackCat/ALPHV prende di mira più vittime e LockBit attacca la contea di Fulton, in Georgia.
La Rhysida rivendica l'attacco all'ospedale pediatrico di Chicago
Il gruppo Rhysida ransomware ha rivendicato un attacco al Lurie Children's Hospital, una struttura pediatrica di Chicago, che ha messo offline i sistemi e rinviato l'assistenza medica. Tra le altre tattiche, Rhysida utilizza uno script PowerShell per compromettere i computer, tra cui la terminazione delle configurazioni RDP e la modifica delle password di Active Directory. Rhysida ha anche rivendicato un attacco alla filiale di Sony Insomniac Games.
BlackCat/ALPHV rivendica l'attacco a Change Healthcare, Hessen Consumer Center, loanDepot, Prudential Financial
La banda di ransomware BlackCat/ALPHV ha rivendicato l'attacco informatico a Optum, una filiale di UnitedHealth Group, che ha interrotto i servizi della piattaforma di scambio di pagamenti Change Healthcare utilizzata da oltre 70.000 farmacie statunitensi. Il gruppo di criminali informatici, che sostiene di aver rubato 6 TB di dati di Change Healthcare, utilizza vari metodi per compromettere i sistemi delle organizzazioni, tra cui Active Directory. BlackCat/ALPHV ha rivendicato anche gli attacchi all'Hessen Consumer Center, un'organizzazione no-profit di Francoforte, in Germania, che fornisce informazioni sulla difesa dei consumatori ai residenti della zona, a loanDepot e a Prudential Financial.
I dati dei clienti di U-Haul sono stati compromessi dal furto di credenziali
Un aggressore sconosciuto ha utilizzato credenziali rubate per compromettere i dati dei clienti di U-Haul, un'azienda statunitense che noleggia attrezzature per traslochi e unità di stoccaggio.
LockBit rivendica l'attacco alla contea di Fulton, Georgia
La contea di Fulton, in Georgia, sede di Atlanta, è stata presa di mira da un attacco del gruppo ransomware LockBit che ha causato interruzioni informatiche diffuse.
I gruppi di ransomware Black Basta e Bl00dy prendono di mira i server ScreenConnect
Black Basta e Bl00dy sono tra i gruppi di criminali informatici che hanno sfruttato una vulnerabilità di bypass dell'autenticazione di massima gravità nei server ScreenConnect. La falla consente agli aggressori di creare account di amministrazione, cancellare utenti e prendere il controllo delle istanze vulnerabili. Black Basta ha anche rivendicato un attacco a Hyundai Motor Europe che avrebbe compromesso 3 TB di dati aziendali.