A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes, España advierte de ataques de phishing que utilizaron el ransomware LockBit Locker, el grupo de ransomware Rhysida reivindicó un ataque contra Prospect Medical y BlackCat atacó al fabricante de relojes Seiko.
El ransomware LockBit Locker ataca a estudios de arquitectura en España
Un grupo de ransomware que se cree que no está afiliado al grupo LockBit utilizó la tecnología de cifrado LockBit Locker en una campaña contra empresas de arquitectura españolas. La campaña utiliza correos electrónicos de phishing que suplantan la identidad de una tienda de fotografía para obtener acceso a privilegios de administrador en máquinas Windows.
El grupo Rhysida reivindica el ataque a Prospect Medical
El grupo de ransomware Rhysida reivindicó un ataque a Prospect Medical Holdings que extrajo 500.000 números de la Seguridad Social, documentos corporativos e historiales de pacientes. Entre otras tácticas, Rhysida utiliza un script PowerShell para comprometer las máquinas, incluyendo la terminación de configuraciones RDP y el cambio de contraseñas de Active Directory.
BlackCat reivindica el ataque al fabricante de relojes Seiko
El fabricante japonés de relojes Seiko sufrió un ataque de ransomware por parte del grupo BlackCat/ALPHV que filtró planes de producción, escaneos de pasaportes de empleados, resultados de pruebas de laboratorio e información sobre posibles diseños de relojes. BlackCat ataca Active Directory para entrar en los sistemas de información antes de lanzar el malware.
Un grupo de ransomware cubano ataca infraestructuras críticas en EE.UU. y Latinoamérica
El grupo de ransomware cubano comprometió a organizaciones de infraestructuras críticas de Estados Unidos y Latinoamérica aprovechando una vulnerabilidad en el protocolo NetLogon de Microsoft para llevar a cabo una escalada de privilegios contra los controladores de dominio de Active Directory.
La brecha de MOVEit se extiende a Colorado, Missouri y Serco, contratista del gobierno de EE.UU.
La brecha MOVEit llevada a cabo por el ransomware Clop afectó a más víctimas, entre ellas el Departamento de Política y Financiación de la Atención Sanitaria de Colorado (HCPF), el Departamento de Servicios Sociales de Missouri y el contratista gubernamental estadounidense Serco. Los métodos de ataque de Clop incluyen atacar toda la red de la víctima comprometiendo el servidor Active Directory (AD) y soltando malware.