Con il continuo aumento dei cyberattacchi che prendono di mira Active Directory, i team che si occupano di sicurezza AD, identità e IT si trovano ad affrontare una crescente pressione per monitorare l'evoluzione del panorama delle minacce incentrate su AD. Per aiutare i professionisti IT a comprendere e prevenire gli attacchi che coinvolgono l'AD, il team di ricerca di Semperis pubblica ogni mese una carrellata di recenti attacchi informatici. Nella carrellata di questo mese, un attacco legato all'identità prende di mira Johnson Controls, la violazione di MOVEit miete altre vittime in Canada e negli Stati Uniti e il gruppo Royal ransomware rivendica la violazione della città di Dallas.
Dispositivi Johnson Controls criptati in un attacco ransomware
L'azienda di automazione Johnson Controls ha segnalato interruzioni IT su larga scala dopo che un attacco ransomware ha criptato i dispositivi di tutta l'organizzazione. Un ricercatore di minacce ha scoperto una nota di ransomware in cui si afferma che gli aggressori hanno utilizzato un crittografo VMware ESXi sviluppato da Dark Angels, un gruppo di ransomware che utilizza varie tattiche per violare le reti e spostarsi lateralmente per ottenere il controllo dei controller di dominio Windows.
La violazione di MOVEit miete vittime in Canada e negli Stati Uniti
Gli attacchi di furto di dati MOVEit da parte del gruppo ransomware Clop hanno mietuto diverse vittime in Canada e negli Stati Uniti, tra cui l'Hospital for Sick Children, il registro dei bambini BORN Ontario e il National Student Clearinghouse negli Stati Uniti. I metodi di attacco di Clop includono il colpire l'intera rete della vittima compromettendo il server Active Directory (AD) e rilasciando il malware.
Un gruppo di ransomware reale rivendica la violazione della città di Dallas
A maggio, un attacco alla città di Dallas che ha interrotto i sistemi informatici è stato rivendicato dal gruppo Royal ransomware, che ha rubato un account di servizio del dominio che gli aggressori hanno poi utilizzato per esfiltrare i file e rilasciare i payload Cobalt Strike.
BlackCat/ALPHV punta al gruppo dei casinò
Il gruppo di ransomware BlackCat/ALPHV ha rivendicato un attacco a MGM che ha interrotto le operazioni. BlackCat/ALPHV, che prende abitualmente di mira Active Directory per accedere ai sistemi informativi prima di lanciare il malware, utilizza anche il crittografo Sphynx per colpire gli account di archiviazione cloud Azure.
Gli aggressori iraniani di APT33 colpiscono le organizzazioni di difesa con attacchi spray alle password che hanno come obiettivo Entra ID (Azure AD)
Microsoft ha riferito che il gruppo di criminali informatici iraniani APT33 ha utilizzato tattiche di spruzzatura delle password per ottenere l'accesso alle credenziali Entra ID (Azure AD) in violazioni diffuse contro organizzazioni di difesa globali.