A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes sobre ataques relacionados con la identidad, se amplían las ramificaciones de la brecha de Okta, los atacantes atacan el Directorio Activo de una agencia espacial japonesa y el grupo de ransomware BlackCat/ALPHV lanza repetidos ataques contra la empresa sanitaria Henry Schein.
Un ataque a Okta comprometió los datos de los usuarios del servicio de atención al cliente
Los atacantes que se dirigieron a Okta en un ataque en octubre obtuvieron datos de usuarios del sistema de atención al cliente. Okta observó que muchos de los usuarios expuestos eran administradores, algunos de los cuales no habían implementado MFA, lo que llevó a la empresa a recomendar la implementación de MFA para el acceso de administrador, exigir la reautenticación para las sesiones de administrador desde nuevas direcciones IP, establecer tiempos de espera de sesión de administrador y aumentar la vigilancia contra los intentos de phishing.
Los atacantes atacan el Active Directory de la agencia espacial japonesa
Un ataque a la agencia espacial japonesa JAXA tuvo como objetivo el servidor Active Directory de la organización, exponiendo potencialmente información crítica, incluidas las credenciales de los empleados.
La empresa sanitaria Henry Schein sufre un nuevo ataque de BlackCat/ALPHV
Henry Schein, gran proveedor estadounidense de productos y servicios sanitarios, sufrió un segundo ataque en noviembre, después de que el grupo de ransomware BlackCat/ALPHV atacara por primera vez a la empresa en octubre. El ataque dejó fuera de servicio algunas de sus aplicaciones y su plataforma de comercio electrónico. ALPHV/BlackCat suele atacar Active Directory para entrar en los sistemas de información antes de lanzar el malware.
El ataque a MOVEit afecta al proveedor de servicios sanitarios Welltok, a AutoZone y al estado de Maine
El proveedor sanitario estadounidense Welltok informó de que fue víctima del ataque a los servidores de MOVEit Transfer lanzado por el grupo de ransomware Clop, y que la brecha afectó a más de 8 millones de personas. AutoZone también informó de que fue víctima del ataque MOVEit, al igual que el estado de Maine.
LockBit afirma haber atacado a contratistas del gobierno canadiense y a Boeing
El grupo de ransomware LockBit ha asumido la responsabilidad de los ataques a dos contratistas del gobierno canadiense que expusieron información confidencial sobre empleados del gobierno. LockBit utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos a través de dominios de Windows. El fabricante de aviones Boeing también informó de que había sido víctima de un ataque de LockBit.
El grupo Basta Negro, detrás del ataque a la Biblioteca Pública de Toronto
El grupo de ransomware Black Basta, cuyas tácticas incluyen atacar el Directorio Activo de las organizaciones, reivindicó la autoría de un ataque a la Biblioteca Pública de Toronto que puso en peligro información personal de empleados, clientes, voluntarios y donantes.