A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes, los ataques de explotación MOVEit se cobran más víctimas, Microsoft informa de violaciones de cuentas de correo electrónico que implican una clave de firma empresarial de Azure AD robada, y tanto BlackCat como Clop afirman haber atacado a la empresa de belleza Estée Lauder.
Ciberdelincuentes chinos utilizan una clave de firma de Azure AD robada para comprometer cuentas de correo electrónico
Microsoft informó de que un grupo de ciberespionaje chino llamado Storm-0558 utilizó una clave de firma empresarial de Azure AD robada para violar las cuentas de correo electrónico de unas 25 organizaciones, entre las que al parecer se encontraban los Departamentos de Estado y Comercio de Estados Unidos.
Deutsche Bank, Maximus y Colorado State se unen a la lista de víctimas de la brecha de MOVEit
El contratista estadounidense de servicios gubernamentales Maximus, el Deutsche Bank y la Universidad Estatal de Colorado fueron tres de las víctimas más recientes que informaron de que sus datos se habían visto comprometidos en los recientes ataques de robo de datos MOVEit Transfer. El grupo de ransomware Clop aprovechó un fallo de día cero en la aplicación de transferencia de archivos para vulnerar empresas de todo el mundo, entre ellas el proveedor de seguros de Virginia Genworth Financial y el Sistema de Jubilación de Empleados Públicos de California (CalPERS). Los métodos de ataque de Clop incluyen atacar toda la red de la víctima comprometiendo el servidor Active Directory (AD) y soltando malware.
ALPHV/BlackCat y Clop reivindican los ataques a la empresa de belleza Estée Lauder
Tanto ALPHV/BlackCat como Clop se atribuyeron los ciberataques al gigante de la belleza Estée Lauder Companies, y según se informa, Clop obtuvo acceso a través de la vulnerabilidad MOVEit Transfer. BlackCat se quejó de que la empresa se negaba a entablar negociaciones, y luego publicó una API para su sitio de filtraciones en un esfuerzo por aumentar la visibilidad de sus ataques y presionar más a las víctimas para que pagaran un rescate, una táctica que Clop no tardó en copiar creando sitios web alojados en Internet y dedicados a víctimas específicas.