Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate sull'AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti cyberattacchi e fornisce ulteriori risorse per difendersi dagli attacchi legati all'identità. Nella rassegna di questo mese, gli attacchi agli ospedali londinesi, al provider assicurativo australiano Medibank e ai clienti Snowflake evidenziano la necessità di rafforzare la resilienza operativa proteggendo il sistema di identità, compresa l'applicazione delle politiche MFA.
Gli attacchi agli ospedali londinesi spingono a chiedere una maggiore resilienza operativa
Un'ondata di attacchi informatici che ha colpito gli ospedali londinesi, tra cui il King's College Hospital e il Guy's Hospital, ha causato gravi interruzioni dei servizi e ha spinto le organizzazioni sanitarie a rivedere i piani di protezione degli asset critici, tra cui il sistema di identità, per garantire la resilienza operativa.
Agire per garantire la resilienza operativa: Leggete 5 Essentials ITDR Steps CISOs Must Know per le linee guida sulla sicurezza identity-first, sull'automazione della risposta agli attacchi e sull'ipotesi di uno scenario peggiore nella pianificazione dei disastri.
Gli attori delle minacce affermano di aver usato credenziali rubate per aggirare Okta e violare Snowflake
La società di cybersicurezza Hudson Rock ha riferito che gli attori delle minacce hanno dichiarato di aver violato gli account di cloud storage Snowflake utilizzando credenziali rubate per aggirare il processo di autenticazione sicura di Okta. Secondo Hudson Rock, "una singola credenziale ha portato all'esfiltrazione di potenzialmente centinaia di aziende che hanno archiviato i loro dati utilizzando Snowflake, e lo stesso attore della minaccia ha suggerito che 400 aziende sono state colpite".
Intervenite per proteggere Okta: Scaricate Purple Knight, uno strumento gratuito di valutazione della sicurezza AD che analizza oltre 150 indicatori di sicurezza per Active Directory, Entra ID e Okta.
L'MFA non applicato è citato nel cyberattacco di Medibank
L'Information Commissioner australiano ha pubblicato un rapporto che illustra le configurazioni errate e la mancata applicazione delle politiche MFA che hanno portato a un cyberattacco contro il fornitore australiano di assicurazioni mediche Medibank. Gli attori della minaccia hanno utilizzato credenziali VPN rubate per accedere alla rete interna dell'azienda utilizzando solo un nome utente e una password.
Intervenite per far rispettare le politiche MFA: Date un'occhiata a queste linee guida di Daniel Petri, Senior Training Manager di Semperis, per evitare la stanchezza da MFA e garantire l'autenticazione a due fattori per gli account sensibili, compresi gli account di amministrazione di Active Directory.
L'attacco di Ascension è riconducibile a un file dannoso scaricato da un dipendente
Un file dannoso scaricato da un dipendente in quello che Ascension ha definito "un errore onesto" ha scatenato il cyberattacco rivendicato dal gruppo Black Basta ransomware-as-a-service (RaaS) che ha causato la messa offline dei servizi del sistema ospedaliero a maggio. Black Basta utilizza varie tattiche per compromettere i sistemi, tra cui la distribuzione di QBot, che estrae le credenziali di dominio di Windows e poi rilascia il malware sui dispositivi infetti.
Intervenite per proteggere Active Directory da accessi non autorizzati: Scoprite come utilizzare la delega a livelli e la gestione delle ACL per impedire alle minacce di accedere alle risorse critiche.