Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate sull'AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica una carrellata mensile di recenti attacchi informatici e fornisce ulteriori risorse per difendersi dagli attacchi legati all'identità. Nella raccolta di questo mese, LockBit ruba i dati della London Drugs, Live Nation conferma una violazione dei dati di Ticketmaster che ha coinvolto un fornitore di terze parti e Okta mette in guardia dagli attacchi di credential stuffing.
LockBit ruba i dati della London Drugs in un attacco ransomware
Il gruppo ransomware LockBit ha rivendicato un attacco di aprile alla catena canadese London Drugs e ha minacciato di pubblicare online i dati rubati. LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Agire contro gli attacchi ransomware: Consultate la guida di Mickey Bresman, CEO di Semperis, sullo sviluppo di un piano di ripristino cyber-first per l'AD, per evitare l'estorsione da parte di bande di ransomware come LockBit.
Live Nation conferma la violazione dei dati di Ticketmaster che coinvolge un fornitore di terze parti
Il gigante dell'intrattenimento Live Nation ha riferito che la sua filiale Ticketmaster ha subito una violazione dei dati che ha coinvolto un fornitore di dati cloud di terze parti, ritenuto Snowflake.
Intervenire contro gli incidenti di sicurezza di terzi: I ricercatori di Semperis Eric Woodruff e Tomer Nahum hanno pubblicato una ricerca originale su una nuova tecnica di attacco che hanno battezzato Silver SAML. Il loro articolo include indicazioni per individuare e prevenire gli attacchi alla catena di fornitura.
I criminali informatici prendono di mira la VPN remota di Check Point con un exploit zero-day
Check Point ha avvertito i clienti di un exploit zero-day che ha colpito il suo servizio VPN remoto e che ha permesso agli attori delle minacce di rubare i dati di Active Directory che consentono l'escalation dei privilegi. Gli aggressori stanno prendendo di mira i gateway di sicurezza utilizzando vecchi account locali VPN con un'autenticazione insicura di sola password. Le soluzioni consigliate includono la rotazione delle password per le connessioni LDAP dal gateway all'AD e la ricerca nei registri di comportamenti anomali e accessi sospetti.
Intervenire contro i tentativi di escalation dei privilegi: Per una guida dettagliata sulla prevenzione degli attacchi che utilizzano le query LDAP per accedere a risorse sensibili, consultate il blog di Sean Deuby, Principal Technologist di Semperis, Top Active Directory Hardening Strategies.
Okta segnala attacchi di credential stuffing rivolti agli endpoint
Il fornitore di servizi di identità Okta ha avvertito i clienti di un attacco di credential stuffing che ha preso di mira la sua funzione di autenticazione Customer Identity Cloud (CIC).
Intervenite contro gli attacchi di credential stuffing: Scoprite come Semperis Lightning Identity Runtime Protection (IRP) aiuta a difendersi dagli attacchi di credential stuffing, tra cui il password spray.