I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis evidenzia l'aumento dell'attività di Conti, gli aggressori BlackCat che prendono di mira i server Exchange e altro ancora.
Il gruppo Conti attacca 40 organizzazioni in un mese
Il gruppo Conti ransomware-as-a-service (RaaS) ha condotto una campagna che ha violato più di 40 organizzazioni in un mese alla fine del 2021. Conti, le cui tattiche includono la compromissione delle credenziali di dominio di Active Directory, monitora frequentemente gli aggiornamenti di Windows e analizza le modifiche apportate dalle nuove patch per scoprire nuovi approcci di attacco.
La CISA invita le organizzazioni ad adottare Exchange Online Modern Auth
La U.S. Cybersecurity & Infrastructure Security Agency (CISA) ha esortato le agenzie e le organizzazioni private che utilizzano la piattaforma di posta elettronica cloud Microsoft Exchange a passare dai modelli di autenticazione tradizionali a Modern Auth (Active Directory Authentication Library e autenticazione basata su token OAuth 2.0) per proteggersi dagli attacchi con password spray.
Gli aggressori di BlackCat prendono di mira i server Exchange per raccogliere informazioni su Active Directory
Microsoft ha recentemente avvertito che il gruppo di ransomware BlackCat sta prendendo di mira i server Exchange per raccogliere le informazioni di Active Directory necessarie per compromettere l'ambiente e rilasciare payload di crittografia dei file. Oltre all'aggiornamento dei server Exchange e al monitoraggio degli accessi alla rete esterna, Microsoft raccomanda alle aziende di rivedere la propria posizione di sicurezza delle identità.
Il gruppo ransomware Vice Society attacca la città italiana di Palermo
Vice Society, che sfrutta le vulnerabilità note dei sistemi non patchati, tra cui la falla PrintNightmare, ha rivendicato la responsabilità di un attacco informatico a Palermo, in Italia. L'attacco ha causato un'interruzione su larga scala dei servizi online.
Il gruppo Black Basta collabora con l'operazione di malware QBot per compromettere gli ambienti aziendali
Black Basta, un nuovo gruppo di ransomware, ha trovato un rapido successo nella compromissione degli ambienti aziendali collaborando con i produttori di QBot (alias QuakBot), un malware per Windows che ruba le credenziali bancarie e di dominio di Windows, per poi rilasciare il malware sui dispositivi infetti.