A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes y proporciona recursos adicionales para protegerse de los ataques relacionados con la identidad. En el resumen de este mes, los ataques a hospitales londinenses, al proveedor de seguros australiano Medibank y a clientes de Snowflake apuntan a la necesidad de reforzar la resistencia operativa mediante la protección del sistema de identidad, incluida la aplicación de políticas MFA.
Los atentados de Londres exigen una mayor capacidad operativa
Una oleada de ciberataques contra hospitales londinenses, entre ellos el King's College Hospital y el Guy's Hospital, provocó importantes interrupciones del servicio e hizo un llamamiento a las organizaciones sanitarias para que revisaran sus planes de protección de activos críticos, incluido el sistema de identidad, a fin de garantizar la resistencia operativa.
Tome medidas para garantizar la resistencia operativa: Lea 5 pasos esenciales de la ITDR que los CISO deben conocer para obtener directrices sobre la seguridad basada en la identidad, la automatización de la respuesta a los ataques y la asunción del peor escenario posible en la planificación ante desastres.
Los autores de la amenaza afirman que utilizaron credenciales robadas para eludir Okta y vulnerar Snowflake
La empresa de ciberseguridad Hudson Rock informó de que los autores de la amenaza afirmaron haber violado las cuentas de almacenamiento en la nube Snowflake utilizando credenciales robadas para eludir el proceso de autenticación segura de Okta. Según Hudson Rock, "una sola credencial resultó en la exfiltración de potencialmente cientos de empresas que almacenaban sus datos usando Snowflake, con el propio actor de la amenaza sugiriendo que 400 empresas están afectadas."
Tome medidas para asegurar Okta: Descargue Purple Knight, una herramienta gratuita de evaluación de la seguridad de AD que analiza más de 150 indicadores de seguridad para Active Directory, Entra ID y Okta.
El ciberataque a Medibank se debe a la falta de aplicación de la AMF
El Comisario de Información de Australia publicó un informe en el que se detallan los errores de configuración y los fallos en la aplicación de las políticas de AMF que condujeron a un ciberataque contra el proveedor australiano de seguros médicos Medibank. Los autores de la amenaza utilizaron credenciales VPN robadas para acceder a la red interna de la empresa utilizando únicamente un nombre de usuario y una contraseña.
Tome medidas para hacer cumplir las políticas de MFA: Echa un vistazo a estas directrices de Daniel Petri, director de formación de Semperis, para evitar la fatiga de la AMF y garantizar la autenticación de dos factores para las cuentas sensibles, incluidas las cuentas de administrador de Active Directory.
El ataque a Ascension se debe a un archivo malicioso descargado por un empleado
Un archivo malicioso descargado por un empleado en lo que Ascension llamó "un error honesto" desencadenó el ciberataque reivindicado por el grupo Black Basta ransomware-as-a-service (RaaS) que hizo que el sistema hospitalario dejara de prestar servicios en mayo. Black Basta utiliza varias tácticas para comprometer los sistemas, incluido el despliegue de QBot, que extrae las credenciales de dominio de Windows y luego deja caer el malware en los dispositivos infectados.
Tome medidas para proteger Active Directory contra el acceso no autorizado: Aprenda a utilizar la delegación por niveles y la gestión de ACL para evitar que los actores de amenazas accedan a activos críticos.