Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'ambiente AD, il team di ricerca di Semperis pubblica una carrellata mensile di recenti attacchi informatici. La carrellata di questo mese comprende attacchi di sfruttamento di MOVEit su larga scala da parte del gruppo ransomware Clop, attacchi BlackCat a Reddit e allo studio legale australiano HWL e altro ancora.
La banda Clop rivendica gli attacchi MOVEit
La banda del ransomware Clop ha rivendicato la responsabilità di attacchi su larga scala che sfruttano vulnerabilità zero-day nella soluzione di trasferimento gestito di file (MFT) MOVEit Transfer. Tra le vittime figurano il Dipartimento dell'istruzione della città di New York, il fornitore di assicurazioni della Virginia Genworth Financial, il Sistema pensionistico dei dipendenti pubblici della California (CalPERS), l'Ufficio dei veicoli a motore della Louisiana e l'Oregon Driver & Motor Vehicle Services. I metodi di attacco di Clop prendono di mira l'intera rete della vittima compromettendo il server Active Directory (AD) e rilasciando malware.
Microsoft corregge la falla di autorizzazione che consente l'acquisizione dell'account Azure AD
Microsoft ha rilasciato una patch per una falla di autenticazione in Azure AD che consente ad attori malintenzionati di scalare i privilegi e prendere il controllo degli account. Tra le organizzazioni vulnerabili alla configurazione errata figurano un'applicazione di design, un'azienda di customer experience e una società di consulenza multi-cloud.
Grafana rilascia una patch per la falla che consente di aggirare l'autenticazione di Azure AD
Grafana, un'applicazione open-source per l'analisi e la visualizzazione, ha rilasciato delle correzioni di sicurezza per risolvere una vulnerabilità che consente ai cyberattaccanti di bypassare l'autenticazione Azure AD e prendere il controllo degli account Grafana.
Il gruppo di ransomware ALPHV/BlackCat minaccia di diffondere i dati della violazione di Reddit
Il gruppo di ransomware BlackCat (alias ALPHV) ha rivendicato l'attacco di febbraio a Reddit e ha minacciato di divulgare i dati in caso di mancata richiesta di riscatto. BlackCat ha rivendicato anche l'attacco di aprile all'azienda australiana HWL Ebsworth e ha pubblicato 1,45 TB di dati rubati. Sospettato di essere collegato a REvil e al gruppo BlackMatter (Darkside) che ha colpito Colonial Pipeline nel maggio 2021, BlackCat prende di mira Active Directory per entrare nei sistemi informatici prima di rilasciare malware.