A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes sobre ataques relacionados con la identidad, el grupo de ransomware Rhysida afirma haber atacado el Hospital Infantil Lurie y la filial de Sony Insomniac Games, BlackCat/ALPHV se dirige a múltiples víctimas y LockBit ataca el condado de Fulton, Georgia.
Rhysida reivindica el ataque al hospital infantil de Chicago
El grupo de ransomware Rhysida reivindicó un ataque al Hospital Infantil Lurie, un centro pediátrico de cuidados intensivos de Chicago, que dejó fuera de servicio los sistemas y pospuso la atención médica. Entre otras tácticas, Rhysida utiliza un script de PowerShell para comprometer las máquinas, incluyendo la terminación de configuraciones RDP y el cambio de contraseñas de Active Directory. Rhysida también reivindicó un ataque a Insomniac Games, filial de Sony.
BlackCat/ALPHV reivindica el ataque a Change Healthcare, Hessen Consumer Center, loanDepot, Prudential Financial
La banda de ransomware BlackCat/ALPHV reivindicó el ciberataque a Optum, filial de UnitedHealth Group, que interrumpió los servicios de la plataforma de intercambio de pagos Change Healthcare utilizada por más de 70.000 farmacias estadounidenses. El grupo de ciberdelincuentes, que afirma haber robado 6 TB de datos de Change Healthcare, utiliza diversos métodos para comprometer los sistemas de las organizaciones, incluido Active Directory. BlackCat/ALPHV también reivindicó ataques contra Hessen Consumer Center, una organización sin ánimo de lucro de Fráncfort (Alemania) que proporciona información de defensa del consumidor a los residentes de la zona; loanDepot; y Prudential Financial.
Robo de credenciales a clientes de U-Haul
Un atacante desconocido utilizó credenciales robadas para comprometer los registros de clientes de U-Haul, una empresa estadounidense que alquila equipos de mudanzas y unidades de almacenamiento.
LockBit reivindica el ataque al condado de Fulton, Georgia
El condado de Fulton, Georgia, sede de Atlanta, fue blanco de un ataque del grupo de ransomware LockBit que causó cortes generalizados en las TI.
Los grupos de ransomware Black Basta y Bl00dy atacan los servidores de ScreenConnect
Black Basta y Bl00dy se encuentran entre los grupos de ciberdelincuentes que han explotado una vulnerabilidad de elusión de autenticación de máxima gravedad en los servidores de ScreenConnect. El fallo permite a los atacantes crear cuentas de administrador, eliminar usuarios y tomar el control de instancias vulnerables. Black Basta también reivindicó un ataque a Hyundai Motor Europe que supuestamente comprometió 3 TB de datos corporativos.