A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes sobre ataques relacionados con la identidad, Midnight Blizzard ataca a Microsoft y HPE, el grupo de ransomware Cactus ataca a Schneider Electric y LockBit reivindica ataques a EquiLend y Capital Health.
El ataque de Midnight Blizzard a Microsoft consistió en el rociado de contraseñas, la falta de MFA y la escalada de privilegios
El ataque de Midnight Blizzard (también conocido como Nobelium o APT29) que vulneró las cuentas de correo electrónico de los ejecutivos de Microsoft incluyó varias tácticas, entre ellas ataques de fuerza bruta de rociado de contraseñas y proxies residenciales, para obtener acceso a una cuenta de inquilino de prueba no destinada a producción que no tenía habilitada la función MFA. Una vez que los actores de la amenaza obtuvieron acceso a la cuenta, que tenía acceso elevado al entorno corporativo de la empresa, los actores de la amenaza fueron capaces de escalar su acceso. Midnight Blizzard también atacó cuentas de correo electrónico de Hewlett-Packard Enterprise (HPE).
El ransomware Cactus afecta a Schneider Electric
La banda de ransomware Cactus, que utiliza credenciales compradas y otras tácticas para penetrar en las redes y obtener privilegios administrativos, reivindicó la autoría de un ciberataque contra la empresa energética Schneider Electronic.
LockBit se responsabiliza de la brecha de EquiLend
El grupo de ransomware LockBit reivindicó un ataque a la empresa global de tecnología financiera EquiLend que interrumpió los servicios justo una semana después de que la compañía anunciara su próxima adquisición por parte de una firma de capital riesgo.
Jason's Deli, víctima de un ataque de suplantación de credenciales
Los autores de la amenaza comprometieron los datos personales de los clientes en un ataque de relleno de credenciales contra Jason's Deli, una cadena de restaurantes estadounidense.
Una nueva vulnerabilidad de elusión de autenticación expone a GoAnywhere Managed File Transfer a ataques
Un fallo recientemente descubierto en las versiones de GoAnywhere Managed File Transfer anteriores a la 7.4.1 permite a los atacantes crear un nuevo usuario administrador a través del portal de administración del producto, lo que podría llevar a la toma de control del dispositivo.
El grupo de ransomware Akira ataca a la empresa sueca Tietoevry
El grupo de ransomware Akira comprometió cuentas que no estaban protegidas por MFA para lanzar un ataque que derribó los centros de datos de la empresa sueca Tietoevry.
LockBit ataca a Capital Health con un ransomware
El grupo de ransomware LockBit reivindicó un ataque a Capital Health, un proveedor de atención sanitaria primaria de Nueva Jersey y Pensilvania, que extrajo datos médicos confidenciales de pacientes con fines de extorsión. Las tácticas de LockBit incluyen explotar vulnerabilidades en AD.