A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. El resumen de este mes incluye ataques de explotación de MOVEit a gran escala por parte del grupo de ransomware Clop, ataques BlackCat a Reddit y al bufete de abogados australiano HWL, y mucho más.
La banda Clop reivindica los ataques de MOVEit
La banda de ransomware Clop reivindicó la autoría de ataques a gran escala que aprovechan vulnerabilidades de día cero en la solución de transferencia gestionada de archivos (MFT) MOVEit Transfer. Entre las víctimas se encuentran el Departamento de Educación de Nueva York, el proveedor de seguros de Virginia Genworth Financial, el Sistema de Jubilación de Empleados Públicos de California (CalPERS), la Oficina de Vehículos Motorizados de Luisiana y los Servicios de Conductores y Vehículos Motorizados de Oregón. Los métodos de ataque de Clop incluyen atacar toda la red de la víctima comprometiendo el servidor de Active Directory (AD) y dejando malware.
Microsoft corrige un fallo de autorización que permitía la toma de control de cuentas de Azure AD
Microsoft publicó un parche para un fallo de autenticación en Azure AD que permite a actores maliciosos escalar privilegios y tomar el control de cuentas. Entre las organizaciones vulnerables a la configuración errónea se encuentran una aplicación de diseño, una empresa de experiencia de cliente y una consultora multicloud.
Grafana publica un parche para un fallo que permite eludir la autenticación de Azure AD
Grafana, una aplicación de análisis y visualización de código abierto, ha publicado correcciones de seguridad para solucionar una vulnerabilidad que permite a los ciberatacantes eludir la autenticación de Azure AD y hacerse con el control de las cuentas de Grafana.
El grupo de ransomware ALPHV/BlackCat amenaza con filtrar los datos de la filtración de Reddit
El grupo de ransomware BlackCat (también conocido como ALPHV) reivindicó el ataque de febrero a Reddit y amenazó con filtrar datos si no se pagaba el rescate. BlackCat también reivindicó un ataque en abril a la empresa australiana HWL Ebsworth y publicó 1,45 TB de datos robados. Sospechoso de estar relacionado con REvil y con el grupo BlackMatter (Darkside) que atacó Colonial Pipeline en mayo de 2021, BlackCat ataca Active Directory para entrar en los sistemas de información antes de lanzar el malware.