I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis evidenzia i cyberattacchi legati all'identità, tra cui le violazioni di JBS, FujiFilm e altri ancora, oltre ai dettagli sulle tattiche utilizzate nell'attacco alla Colonial Pipeline.
L'attacco di Colonial Pipeline è riconducibile a un account inattivo
Il gruppo di ransomware Darkside ha utilizzato una password compromessa per ottenere l'accesso a un account VPN inattivo nella rete di Colonial Pipeline, uno stratagemma che è riuscito a bloccare il gasdotto di 5.500 miglia dell'azienda per 5 giorni e a farle pagare un riscatto stimato in 5 milioni di dollari.
La rete FujiFilm violata da un attacco ransomware
Il conglomerato giapponese FujiFilm è stato costretto a chiudere parzialmente le operazioni all'inizio di giugno dopo che la sua rete è stata infettata dal malware Qbot, attualmente utilizzato dal gruppo ransomware REvil. Il malware Qbot ottiene l'accesso remoto alle reti compromesse, aprendo la strada a movimenti laterali nell'ambiente e alla crittografia dei dati.
Il produttore di carne JBS ha pagato 11 milioni di dollari al gruppo di ransomware REvil dopo un attacco
JBS ha pagato al gruppo di ransomware REvil 11 milioni di dollari per decriptare i file compromessi in un attacco informatico avvenuto a fine maggio. I funzionari di JBS hanno dichiarato di aver avuto bisogno del decriptatore per ripristinare solo un paio di database: il resto dei dati è stato recuperato dai backup. JBS è stata costretta a chiudere alcuni siti di produzione alimentare mentre erano in corso le trattative.
REvil prende di mira l'appaltatore statunitense di armi nucleari Sol Oriens
Sol Oriens, una società di consulenza che gestisce tecnologie per applicazioni militari e spaziali, è stata colpita dal gruppo ransomware REvil, che ha violato il sistema dell'azienda e acquisito documenti. REvil ha fatto riferimento ai legami di Sol Oriens con le agenzie militari in una dichiarazione pubblicata sul suo sito di fuga di notizie.
Il Centro nazionale britannico per la sicurezza informatica chiede di aumentare le difese contro i cyberattacchi nel settore dell'istruzione
Il National Cyber Security Center (NCSC) del Regno Unito ha lanciato un allarme sull'aumento degli attacchi informatici nel settore dell'istruzione, richiamando l'attenzione sulla necessità per le scuole e gli altri enti educativi di rafforzare le difese contro le tattiche che sfruttano password deboli, la mancanza di autenticazione a più fattori e le vulnerabilità non patchate nel protocollo di desktop remoto (RDP) e nelle reti private virtuali (VPN).
Il fornitore di servizi di engagement della Camera degli Stati Uniti iConstitutent è stato compromesso da un attacco ransomware
Un fornitore di messaggistica automatica utilizzato dalla Camera dei Rappresentanti degli Stati Uniti per le comunicazioni con gli elettori è stato colpito da un attacco ransomware che ha impedito agli uffici della Camera di accedere ai dati.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.