I cyberattacchi che prendono di mira Active Directory sono in aumento, mettendo sotto pressione i team che si occupano di AD, identità e sicurezza per monitorare il panorama delle minacce incentrate sull'AD, in continuo mutamento. Per aiutare i professionisti IT a comprendere meglio e a difendersi dagli attacchi che coinvolgono l'AD, il team di ricerca di Semperis offre questa carrellata mensile di recenti cyberattacchi che hanno utilizzato l'AD per introdurre o propagare malware.
Questo mese, il team di ricerca di Semperis mette in luce gli aspetti legati all'identità della violazione di SolarWinds, nonché gli attacchi a una società di servizi elettrici in Brasile e a un sistema scolastico di New York.
Le audizioni di SolarWinds hanno evidenziato le lacune nella sicurezza delle identità
Durante la prima udienza pubblica del Congresso sulla violazione di SolarWinds, i leader tecnologici di SolarWinds, Microsoft, FireEye e CrowdStrike hanno testimoniato davanti alla Commissione Intelligence del Senato sui fattori che hanno portato all'attacco. Il presidente di Microsoft Brad Smith ha dichiarato che gli aggressori sono entrati nei sistemi di alcuni clienti attraverso i sistemi on-premises, hanno avuto accesso alle credenziali di amministrazione e poi sono passati ai servizi online come Office 365. Gli aggressori hanno anche utilizzato metodi comuni come la sicurezza e la sicurezza. Secondo Kevin Mandia, CEO di FireEye, gli aggressori hanno utilizzato anche metodi comuni come lo spraying di password.
Sean Deuby, direttore dei servizi di Semperis, ha commentato in Enterprise Security Tech che alcune delle tattiche utilizzate nella violazione non sono "tattiche altamente sofisticate, riservate agli Stati nazionali, ma sono metodi collaudati e utilizzati da tutti i malintenzionati per introdursi in Active Directory nelle organizzazioni di tutto il mondo".
L'attacco dell'azienda elettrica brasiliana ha compromesso l'AD
Il gruppo Darkside ha eseguito un attacco ransomware contro la società brasiliana di servizi elettrici Copel, ottenendo l'accesso alla soluzione di gestione degli accessi privilegiati CyberArk dell'azienda. Gli aggressori sostengono di aver rubato informazioni sensibili, tra cui mappe di rete, schemi e pianificazioni di backup e zone di dominio per il sito web pubblico e l'intranet di Copel. Sostengono inoltre di aver compromesso il file NTDS.dit di Active Directory.
Active Directory preso di mira in un attacco malware alle scuole di New York
Un attacco malware alla Victor Central Schools di New York ha criptato dati e sistemi, tra cui Active Directory, costringendo la scuola a chiudere per una settimana. Non sono stati compromessi dati personali o finanziari, che erano conservati in server esterni. L'attacco malware è oggetto di indagine da parte del Dipartimento di Sicurezza Nazionale e dell'FBI.
Altre risorse
Volete rafforzare le difese della vostra Active Directory contro i cyberattacchi? Consultate le nostre ultime risorse.