A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes, LockBit ataca los servidores de Papercut, BlackBasta ataca las Páginas Amarillas canadienses y BlackCat/ALPHV compromete el sistema de punto de venta (TPV) Aloha de NCR.
Ataques a Papercut atribuidos a los grupos de ransomware Clop y LockBit
Microsoft atribuyó los ataques al software de gestión de impresión Papercut a los grupos de ransomware Clop y LockBit. Las tácticas de LockBit incluyen explotar las vulnerabilidades de las directivas de grupo de Active Directory.
Black Basta reivindica los ataques a las Páginas Amarillas canadienses y a Capita
El grupo de ransomware como servicio (RaaS) Black Basta reivindicó la autoría de un ataque contra el editor canadiense de directorios Yellow Pages Group. Black Basta utiliza varias tácticas para comprometer los sistemas, incluido el despliegue de QBot, que extrae las credenciales de dominio de Windows y luego deja caer el malware en los dispositivos infectados. Black Basta también reivindicó un ataque a Capita, un grupo de subcontratación con sede en Londres. Ese ataque impidió el acceso a las aplicaciones de Microsoft Office 365 de Capita.
BlackCat/ALPHV reivindica el ataque a NCR
BlackCat realizó un ataque a la plataforma Aloha POS de NCR, dirigido a sus centros de datos, causando una interrupción que afectó a las operaciones rutinarias, incluidos los servicios de nómina. Las tácticas de BlackCat incluyen atacar servidores Exchange para recopilar la información de Active Directory necesaria para comprometer el entorno y soltar cargas útiles de cifrado de archivos.