I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis evidenzia le azioni per mitigare due vulnerabilità di Active Directory che potrebbero consentire agli aggressori di prendere il controllo dei domini Windows, la vulnerabilità di Log4j e le nuove attività del gruppo di ransomware Cuba.
Si consiglia di eseguire patch e azioni aggiuntive per risolvere le vulnerabilità di Active Directory.
Dopo aver rilasciato le patch di sicurezza per due vulnerabilità di Active Directory durante il Patch Tuesday di novembre 2021, il 20 dicembre Microsoft ha esortato i clienti ad applicare immediatamente le patch per impedire agli aggressori di prendere il controllo dei domini Windows. Oltre alle patch, le organizzazioni possono intraprendere ulteriori azioni per prevenire la creazione non autorizzata di account che potrebbero portare all'escalation dei privilegi e a un attacco.
Il ransomware Conti sfrutta la vulnerabilità di Log4j
Il gruppo Conti, con sede in Russia, ha sviluppato una catena di attacco completa basata sulla vulnerabilità Log4j della libreria di log Apache, scoperta a dicembre. La metodologia di attacco comprende Kerberoasting, che estrae le credenziali degli account di servizio da Active Directory. La vulnerabilità Log4j è sospettata in un attacco ransomware a Kronos, una delle più grandi aziende di software per le risorse umane, che ha interrotto i sistemi di buste paga di organizzazioni come la Metropolitan Transportation Authority (MTA) di New York e molti ospedali.
L'FBI avverte dell'attività di un gruppo di ransomware di Cuba che prende di mira le infrastrutture critiche
Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha scoperto le tattiche, comprese le credenziali compromesse, utilizzate dal gruppo di ransomware Cuba per compromettere decine di infrastrutture critiche in settori che spaziano dalla sanità alla pubblica amministrazione e ad altri settori.
Le tattiche del ransomware ALPHV BlackCat includono la configurazione delle credenziali di dominio
Il gruppo di ricerca MalwareThreatHunter ha scoperto ALPHV BlackCat, un nuovo sofisticato ransomware che include un set di funzionalità personalizzabili che consentono agli attori delle minacce di configurare, tra le altre tattiche, le credenziali di dominio per diffondere il malware e crittografare i dispositivi in rete.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.
- 3 passi per la mitigazione di due recenti falle di sicurezza per l'escalation dei privilegi del servizio di dominio Active Directory | Semperis
- Comprendere i rischi delle impostazioni di compatibilità pre-Windows 2000 in Windows 2022 | Semperis
- 6 risultati della conferenza globale HIP 2021 | Semperis