A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes y proporciona recursos adicionales para protegerse de los ataques relacionados con la identidad. En el resumen de este mes, LockBit roba datos de London Drugs, Live Nation confirma una filtración de datos de Ticketmaster en la que participó un proveedor externo y Okta advierte de ataques de relleno de credenciales.
LockBit roba datos de London Drugs en un ataque de ransomware
El grupo de ransomware LockBit reivindicó un ataque en abril a la cadena canadiense London Drugs y amenazó con publicar en Internet los datos robados. LockBit utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos en dominios de Windows.
Tome medidas contra los ataques de ransomware: Consulte las orientaciones de Mickey Bresman, CEO de Semperis, sobre el desarrollo de un plan de recuperación cibernética para que AD evite la extorsión de bandas de ransomware como LockBit.
Live Nation confirma que la filtración de datos de Ticketmaster implica a un proveedor externo
El gigante del entretenimiento Live Nation informó de que su filial Ticketmaster había sufrido una filtración de datos en la que estaba implicado un proveedor de datos en la nube que se cree que es Snowflake.
Tome medidas contra incidentes de seguridad de terceros: Los investigadores de Semperis Eric Woodruff y Tomer Nahum publicaron una investigación original sobre una nueva técnica de ataque que denominaron Silver SAML. Su artículo incluye orientaciones para detectar y prevenir los ataques a la cadena de suministro.
Los ciberdelincuentes atacan la VPN remota de Check Point en un exploit de día cero
Check Point advirtió a sus clientes de un exploit de día cero dirigido a su servicio VPN remoto que ha permitido a los actores de amenazas robar datos de Active Directory que permiten la escalada de privilegios. Los atacantes se dirigen a las pasarelas de seguridad utilizando cuentas locales de VPN antiguas con autenticación insegura de sólo contraseña. Las soluciones recomendadas incluyen la rotación de contraseñas para las conexiones LDAP desde la pasarela a AD y la búsqueda en los registros de comportamientos anómalos e inicios de sesión sospechosos.
Tome medidas contra los intentos de escalada de privilegios: Para obtener información detallada sobre la prevención de ataques que utilizan consultas LDAP para acceder a activos sensibles, consulte el blog Top Active Directory Hardening Strategies de Sean Deuby, tecnólogo principal de Semperis.
Okta informa de ataques de relleno de credenciales dirigidos a puntos finales
El proveedor de servicios de identidad Okta advirtió a sus clientes de un ataque de relleno de credenciales dirigido a su función de autenticación Customer Identity Cloud (CIC).
Tome medidas contra los ataques de relleno de credenciales: Descubra cómo Semperis Lightning Identity Runtime Protection (IRP) ayuda a protegerse contra los ataques de relleno de credenciales, incluido el rociado de contraseñas.