I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD in continuo cambiamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dai cyberattacchi che prendono di mira Active Directory, il team di ricerca di Semperis offre questa carrellata mensile di attacchi recenti che hanno utilizzato AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis evidenzia gli attacchi BlackCat che hanno provocato un allarme dell'FBI, un attacco del gruppo Conti a Panasonic, un attacco Hive a un'azienda sanitaria californiana e altro ancora.
L'attività del ransomware BlackHat fa scattare l'allarme dell'FBI
Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha lanciato un allarme sul gruppo di ransomware-as-a-service (RaaS) BlackCat (alias ALPHV), che ha attaccato decine di organizzazioni a livello globale dal novembre 2021. Sospettato di essere collegato a REvil e al gruppo BlackMatter (Darkside) che ha colpito Colonial Pipeline nel maggio 2021, BlackCat prende di mira Active Directory per accedere ai sistemi informatici prima di rilasciare il malware.
Le aziende russe colpite dal ransomware Conti trapelato
Gli strumenti originariamente sviluppati dal gruppo ransomware russo Conti e trapelati da uno sviluppatore ucraino di ransomware sono stati utilizzati per attaccare diverse aziende russe. Le tattiche di Conti includono l'acquisizione delle credenziali di amministrazione del dominio Active Directory prima di distribuire il ransomware.
Il gruppo di ransomware Hive attacca il Partnership HealthPlan della California
Il gruppo di ransomware Hive ha rivendicato la responsabilità di un attacco che ha estratto i dati privati di 850.000 membri di Partnership HealthPlan of California. Tra le altre tattiche, Hive utilizza software di amministrazione remota per infiltrarsi nei sistemi e stabilire la persistenza, quindi impiega strumenti come ADRecon per mappare l'ambiente AD.
Conti rivendica la responsabilità dell'attacco alle attività canadesi di Panasonic
Nella seconda violazione dal novembre 2021, Panasonic ha riferito che le sue attività canadesi sono state vittime di un cyberattacco mirato. Il gruppo di ransomware Conti, che di recente ha assunto ex talenti di TrickBot per espandere la propria capacità di compromettere le credenziali del dominio Active Directory, ne ha rivendicato la responsabilità.