I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis evidenzia i cyberattacchi legati all'identità, tra cui gli abusi di LockFile delle falle ProxyShell e PetitPotam, l'aumento degli attacchi LockBit 2.0 e l'espansione degli exploit Hive.
Gli aggressori di LockFile accelerano l'uso delle falle di ProxyShell Exchange Server e PetitPotam
L'agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha avvertito che gli aggressori LockFile stanno sfruttando attivamente la falla di ProxyShell Exchange Server e la vulnerabilità PetitPotam per ottenere l'accesso ad Active Directory e alle relative reti e successivamente rilasciare malware.
Gli attacchi LockBit 2.0 aumentano
L'aumento degli attacchi LockBit 2.0, che includono una violazione dei sistemi della società di consulenza globale Accenture, ha spinto il Centro australiano per la sicurezza informatica a lanciare un allarme su un "forte e significativo aumento" degli attacchi segnalati. LockBit 2.0 cripta automaticamente i dispositivi nei domini Windows abusando dei criteri di gruppo di Active Directory.
L'attacco di Hive al sistema sanitario fa scattare l'allarme dell'FBI
L'FBI ha pubblicato un avviso e un elenco di Indicators of Compromise (IOCs) associati al ransomware Hive dopo che il gruppo ha distrutto il Memorial Health System, che opera in Ohio e Virginia. Tra le varie tattiche, Hive utilizza software di amministrazione remota come ConnectWise per infiltrarsi nei sistemi e stabilire la persistenza, quindi utilizza strumenti come ADRecon per mappare l'ambiente Active Directory.
La filiale Nokia subisce un attacco ransomware da parte di Conti
SAC Wireless, una filiale di Nokia, è stata colpita da un attacco ransomware da parte del gruppo Conti, che ha violato la rete, rubato dati e criptato i sistemi. L'attacco ha spinto l'azienda a rafforzare le politiche di accesso al sistema e ad ampliare i requisiti di autenticazione a più fattori (MFA), oltre ad altre azioni di rimedio.
Sospetti di violenza nell'attacco all'ospedale del Nevada
L'University Medical Center Southern Nevada ha riportato un attacco ransomware che, secondo gli analisti, potrebbe essere opera del gruppo REvil, che utilizza varie tattiche per violare i sistemi, tra cui lo sfruttamento dei privilegi di amministratore.
Lo sviluppatore di giochi Crytek denuncia l'attacco ransomware Egregor
Il gruppo di ransomware-as-a-service Egregor ha violato i sistemi informatici dello sviluppatore di giochi Crytek, criptando i dati e rubando le informazioni dei clienti. Egregor, responsabile dei noti attacchi ai rivenditori Barnes & Noble e Kmart, sfrutta le errate configurazioni di Active Directory per violare le reti.
Le minacce di BazaCall utilizzano i centri telefonici per lanciare il malware
Microsoft ha intensificato gli avvertimenti sulle minacce BazaCall, che inducono le vittime a chiamare un centro telefonico fraudolento e a scaricare il ransomware BazaLoader con una guida passo passo da parte di operatori umani. Dopo la violazione iniziale, gli aggressori utilizzano ADFind (uno strumento gratuito per la scoperta di AD da riga di comando) per intensificare la ricognizione sui sistemi delle vittime.