Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti attacchi informatici. Nella carrellata di questo mese di attacchi legati all'identità, Midnight Blizzard colpisce Microsoft e HPE, il gruppo ransomware Cactus prende di mira Schneider Electric e LockBit rivendica attacchi a EquiLend e Capital Health.
L'attacco Midnight Blizzard a Microsoft prevedeva l'utilizzo di password spray, la mancanza di MFA e l'escalation dei privilegi.
L'attacco di Midnight Blizzard (noto anche come Nobelium o APT29) che ha violato gli account di posta elettronica dei dirigenti Microsoft ha incluso varie tattiche, tra cui attacchi brute-force con spray di password e proxy residenziali, per ottenere l'accesso a un account tenant di test non di produzione che non aveva l'MFA abilitato. Una volta ottenuto l'accesso all'account, che aveva un accesso elevato all'ambiente aziendale della società, gli attori delle minacce sono stati in grado di aumentare il loro accesso. Midnight Blizzard ha preso di mira anche gli account e-mail di Hewlett-Packard Enterprise (HPE).
Il ransomware Cactus colpisce Schneider Electric
La banda del ransomware Cactus, che utilizza credenziali acquistate e altre tattiche per violare le reti e ottenere privilegi amministrativi, ha rivendicato la responsabilità di un cyberattacco alla società energetica Schneider Electronic.
LockBit rivendica la responsabilità della violazione di EquiLend
Il gruppo ransomware LockBit ha rivendicato un attacco alla società fintech globale EquiLend che ha interrotto i servizi appena una settimana dopo l'annuncio dell'imminente acquisizione da parte di una società di private equity.
Jason's Deli è stato colpito da attacchi di credential stuffing
Le minacce hanno compromesso i dati personali dei clienti in un attacco di credential stuffing contro Jason's Deli, una catena di ristoranti statunitense.
Una nuova vulnerabilità di bypass dell'autenticazione espone agli attacchi GoAnywhere Managed File Transfer
Una falla appena scoperta nelle versioni di GoAnywhere Managed File Transfer precedenti alla 7.4.1 consente agli aggressori di creare un nuovo utente amministratore attraverso il portale di amministrazione del prodotto, che potrebbe portare all'acquisizione del dispositivo.
Il gruppo di ransomware Akira prende di mira l'azienda svedese Tietoevry
Il gruppo di ransomware Akira ha compromesso gli account non protetti da MFA per sferrare un attacco che ha messo fuori uso i data center dell'azienda svedese Tietoevry.
LockBit prende di mira la Capital Health in un attacco ransomware
Il gruppo ransomware LockBit ha rivendicato un attacco a Capital Health, un fornitore di servizi sanitari primari nel New Jersey e in Pennsylvania, che ha estratto dati medici sensibili dei pazienti a scopo di estorsione. Le tattiche di LockBit includono lo sfruttamento delle vulnerabilità in AD.
Altre risorse
