I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca Semperis mette in evidenza l'emergente Bloody Ransomware Gang, una campagna di avvelenamento SEO che potrebbe portare a una compromissione di Active Directory e molteplici attacchi rivendicati dal gruppo ransomware Hive.
Un gruppo emergente di ransomware utilizza il costruttore LockBit trapelato negli attacchi a un'entità ucraina
La Bloody Ransomware Gang, che ha iniziato a operare nel maggio 2022 con attacchi a studi medici e dentistici di New York, ha utilizzato un costruttore di ransomware LockBit 3.0 trapelato su Twitter per lanciare attacchi a un'organizzazione ucraina. Il gruppo LockBit utilizza varie tattiche, tecniche e procedure (TTP) per compromettere le organizzazioni vittime, tra cui l'abuso dei criteri di gruppo AD per crittografare i dispositivi nei domini Windows.
Una campagna di avvelenamento SEO compromette diverse organizzazioni
I criminali informatici hanno utilizzato una campagna di avvelenamento SEO per attaccare diverse organizzazioni, prendendo di mira i dipendenti che utilizzano determinati termini di ricerca e inducendoli a fare clic su risultati di ricerca dannosi. Le vittime che cliccano sulle risorse offerte nelle false pagine dei forum scatenano un malware che raccoglie informazioni sull'utente che potrebbero esporre il nome del dominio aziendale interno dell'organizzazione, portando potenzialmente a una compromissione di Active Directory.
Lapsus$ viola i sistemi interni di Uber
Il gruppo di criminali informatici adolescenti Lapsus$ ha rivendicato la responsabilità di un attacco che ha compromesso i sistemi di Uber, tra cui il canale Slack e i siti web intranet. Microsoft ha avvertito delle varie tattiche utilizzate da Lapsus$, tra cui lo sfruttamento di falle in strumenti come Confluence e GitLab per ottenere credenziali di account privilegiati e l'utilizzo di un comando Microsoft integrato (ntdsutil) per estrarre il database AD di una rete mirata.
Il gruppo Hive rivendica la responsabilità degli attacchi a organizzazioni di New York e del Canada
Il gruppo di ransomware Hive si è preso il merito degli attacchi subiti la scorsa estate dalla New York Racing Association e da Empress EMS, un fornitore di servizi di emergenza e ambulanze con sede a New York. Recentemente Hive ha rivendicato anche un attacco alla filiale di Bell Canada, Bell Technical Solutions. Tra le altre tattiche, Hive utilizza software di amministrazione remota per infiltrarsi nei sistemi e stabilire la persistenza, quindi utilizza strumenti come ADRecon per mappare l'ambiente AD.
BlackCat rivendica l'attacco all'agenzia energetica italiana
Il gruppo di ransomware BlackCat (alias AlphV) ha rivendicato la responsabilità di un attacco all'agenzia italiana per l'energia Gestore dei Servizi Energetici SpA (GSE) che ha messo fuori uso il suo sito web e altri sistemi. Microsoft ha recentemente avvertito che il gruppo di ransomware BlackCat prende di mira i server Exchange per raccogliere le informazioni di Active Directory necessarie per compromettere l'ambiente e rilasciare payload di crittografia dei file.