I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis mette in evidenza il malware data wiper utilizzato nei cyberattacchi che hanno messo fuori uso i siti web del governo e delle banche ucraine, gli errori del NOAA che hanno facilitato Colonial Pipeline e altri attacchi e l'acquisizione da parte di Conti del talento TrickBot per espandere le tecniche di attacco.
I cyberattaccanti che prendono di mira l'Ucraina ottengono il controllo di Active Directory per lanciare il malware data wiper
Nelle prime ore dell'attacco russo all'Ucraina, i cyberattaccanti hanno messo offline agenzie governative e banche ucraine rilasciando un malware wiper per i dati. In almeno un caso, i cyberattaccanti hanno ottenuto il controllo del server Active Directory prima di rilasciare il malware wiper tramite GPO dei criteri di dominio.
Audit: NOAA ha gestito in modo "inadeguato" Active Directory, portando a Colonial Pipeline e ad altri exploit
Secondo un audit dell'Office of Inspector General degli Stati Uniti, la National Oceanic and Atmospheric Administration (NOAA) ha gestito in modo "inadeguato" Active Directory e non è riuscita a proteggere obiettivi primari come le credenziali degli utenti, vulnerabilità che sono state sfruttate nell'attacco al Colonial Pipeline e in altri attacchi che hanno permesso ai gruppi di ransomware DarkSide e REvil di ottenere l'accesso remoto alle entità statunitensi.
Conti acquisisce il talento di TrickBot per espandere gli exploit di Active Directory
Il gruppo di ransomware Conti ha assunto ex specialisti di penetrazione di TrickBot per espandere la propria capacità di ottenere le credenziali di amministrazione del dominio Active Directory nei sistemi delle organizzazioni vittime prima di distribuire il ransomware. I criminali informatici hanno recentemente utilizzato una campagna di phishing sui clienti delle poste americane per indurli a installare il malware TrickBot.
Gli attacchi della Croce Rossa sfruttano una falla del software di terze parti per compromettere Active Directory
I malintenzionati hanno utilizzato una falla in Zoho ManageEngine ADSelfService Plus per attaccare il Comitato Internazionale della Croce Rossa (CICR), compromettendo i dati di oltre 515.000 persone. La falla, priva di patch, ha permesso agli aggressori di compromettere gli account amministrativi, muoversi lateralmente nel sistema ed esfiltrare gli hives del registro di Windows e i file AD.
L'FBI mette in guardia dagli attacchi LockBit 2.0
Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha reso noti gli indicatori di compromissione (IOC) associati al ransomware LockBit 2.0, che utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.