I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis mette in evidenza i cyberattacchi legati all'identità, tra cui l'escalation degli attacchi informatici russi alle agenzie federali statunitensi; l'attacco sponsorizzato dallo Stato a un'amministrazione locale statunitense che ha sfruttato i bug di un dispositivo Fortinet; l'attacco Colonial Pipeline, che ha preso di mira le vulnerabilità di Windows; l'attacco ransomware MountLocker, che ha sfruttato le API di Windows Active Directory; e altro ancora.
Microsoft segnala che i criminali informatici russi dietro l'attacco SolarWinds stanno intensificando gli sforzi
Un post sul blog del vicepresidente di Microsoft Tom Burt ha avvertito che i criminali informatici russi dietro l'attacco di SolarWinds stanno intensificando i loro sforzi, scatenando un attacco che ha consentito l'accesso agli account di posta elettronica di circa 150 organizzazioni attraverso Constant Contact, un servizio di email marketing utilizzato dall'Agenzia statunitense per lo sviluppo internazionale (USAID).
FBI: Criminali informatici APT hanno sfruttato i bug di Fortinet per attaccare l'amministrazione locale statunitense
L'FBI ha riferito che i criminali informatici sponsorizzati dallo Stato hanno sfruttato le debolezze di un dispositivo Fortinet per penetrare nei server Web di un'organizzazione governativa locale statunitense. Dopo aver ottenuto l'accesso, i criminali informatici si sono spostati lateralmente attraverso la rete per creare nuovi account utente per controller di dominio, server e workstation.
Gli aggressori di Colonial Pipeline hanno preso di mira le vulnerabilità di Windows, tra cui AD
L'attacco ransomware di Colonial Pipeline, che ha interrotto 5.500 miglia di condutture di carburante, ha fornito un'ulteriore prova del fatto che il gruppo ransomware responsabile dell'attacco, DarkSide, predilige prendere di mira le vulnerabilità di Windows, secondo quanto affermato dal direttore dei servizi di Semperis Sean Deuby in un rapporto di Cyber Security Asean.
L'attacco Conti ai servizi sanitari irlandesi ha sfruttato l'accesso alle credenziali del dominio Windows
Conti, il gruppo responsabile dell'attacco informatico ai servizi sanitari irlandesi, ha applicato un approccio collaudato che prevede l'utilizzo di attacchi di phishing per installare trojan che consentono l'accesso remoto alle macchine infette, sfruttando tale accesso per accedere alle credenziali di dominio di Windows e quindi distribuendo il ransomware in tutta la rete.
Il ransomware MountLocker sfrutta le API di Windows Active Directory
Secondo un rapporto di Bleeping Computer, il ransomware-as-a-service MountLocker ora utilizza le API di Windows Active Directory per invadere le reti. Dopo aver utilizzato le API per connettersi ai servizi AD della vittima, gli aggressori di MountLocker possono trovare i dispositivi nel dominio compromesso e crittografarli utilizzando le credenziali di dominio rubate.
Il CISA chiede di rivedere le autorizzazioni per combattere la variante del ransomware FiveHands
L'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha avvertito che una variante di ransomware relativamente nuova, chiamata FiveHands, sfrutta le vulnerabilità della tecnologia Microsoft. La CISA raccomanda di adottare misure preventive, tra cui l'implementazione di privilegi minimi per gli account e l'abilitazione dell'autenticazione a più fattori per gli account privilegiati.
La bonifica dell'attacco ransomware della contea della California settentrionale ha richiesto il recupero dell'AD
Il team IT della contea di Yuba, in California, ha fornito un resoconto dettagliato del recupero da un attacco ransomware, che comprendeva il ripristino di Active Directory dopo che i criminali informatici avevano creato un account amministratore aziendale fraudolento e crittografato 50 PC e 100 server.
Un analista presenta i risultati di un'autorizzazione errata che ha portato alla violazione delle cartelle cliniche dei veterani
Un analista ha affermato che ben 200.000 cartelle cliniche di pazienti della U.S. Veterans Administration potrebbero essere state compromesse da una banda di ransomware che ha sfruttato un database lasciato aperto da un fornitore, consentendo a chiunque di modificare le cartelle senza credenziali amministrative ed esponendo password e informazioni di fatturazione.
Rapporto: Operazioni di Exchange rischiose in cima alla lista di rilevamento delle minacce di Azure Active Directory
Un nuovo report sui rilevamenti delle minacce per Azure Active Directory e Office 365 ha identificato le operazioni di Exchange rischiose come le principali minacce in base alla frequenza e mette in evidenza le sfide della gestione delle autorizzazioni negli ambienti di identità ibridi.
Le misure preventive post-attacco di Bose hanno incluso la reimpostazione delle password e un monitoraggio rafforzato delle modifiche agli account.
Dopo essere stata colpita da un ransomware che ha compromesso alcuni dati dei clienti, il produttore di apparecchiature audio Bose ha implementato misure preventive contro futuri attacchi, tra cui la reimpostazione delle password per tutti gli utenti finali e gli account privilegiati, il miglioramento del monitoraggio e della registrazione per rilevare future modifiche agli account e la modifica delle chiavi di accesso per tutti gli account di servizio.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.