Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti attacchi informatici. Nella carrellata di attacchi legati all'identità di questo mese, Microsoft mette in guardia dall'attore di minacce Octo Tempest, il nuovo ransomware Rorschach (alias BabLock) colpisce un'azienda di telecomunicazioni cilena e ALPHV/BlackCat mette a segno diversi colpi.
Microsoft mette in guardia dall'attore di minacce Octo Tempest
Microsoft ha pubblicato un profilo dettagliato dell'attore delle minacce Octo Tempest, che collabora con il gruppo ransomware ALPHV/BlackCat per scatenare attacchi di estorsione di dati e ransomware contro organizzazioni che forniscono servizi di telecomunicazione, e-mail e tecnologia. Microsoft raccomanda, tra le altre linee guida, il monitoraggio e la revisione dei processi legati all'identità.
Il gruppo Lazarus prende ripetutamente di mira i fornitori di software e i server TeamCity
Il gruppo di criminali informatici nordcoreani Lazarus ha ripetutamente preso di mira un fornitore di software per distribuire il malware SIGNBT e ha rivendicato la responsabilità di un attacco a TeamCity, che produce server di integrazione e distribuzione continua. I metodi di Lazarus includono la compromissione di Active Directory per ottenere elenchi di account di amministrazione.
Telecom cilena colpita da un nuovo ransomware Rorschach che prende di mira i controller di dominio
Grupo GTD, una società di telecomunicazioni cilena che offre servizi in tutta l'America Latina, è stata presa di mira da un nuovo ransomware chiamato Rorschach (alias BabLock), che viene distribuito attraverso una tecnica di side-loading di DLL. Quando viene eseguito su un dominio Windows, il ransomware crea un Criterio di gruppo per propagare il malware ad altri host.
ALPHV/BlackCat viola Seiko, il tribunale della Florida e MotelOne
Il gruppo di ransomware ALPHV/BlackCat ha rivendicato attacchi al produttore di orologi Seiko, al tribunale della Florida e alla catena di hotel a basso costo MotelOne. ALPHV/BlackCat prende abitualmente di mira Active Directory per accedere ai sistemi informatici prima di rilasciare il malware.
La piattaforma di gestione delle password 1Password presa di mira dalla violazione di Okta
I cyberattaccanti hanno ottenuto l'accesso al tenant di gestione degli ID Okta di 1Password, una piattaforma di gestione delle password, anche se l'azienda ha dichiarato di aver interrotto l'attività dannosa e di non aver trovato alcuna prova di compromissione dei dati. (Per informazioni su come mitigare le vulnerabilità di Okta, consultare l'articolo Using Purple Knight to Detect the Okta Super Admin Attack - Semperis).
Sony è vittima dell'attacco MOVEit
Il gigante dell'intrattenimento Sony ha rivelato che le informazioni dei dipendenti sono state esposte negli attacchi alla piattaforma MOVEit Transfer condotti dal gruppo ransomware Clop, che utilizza metodi che includono la compromissione dei server Active Directory (AD) delle vittime e il lancio di malware.
Altre risorse
