A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes sobre ataques relacionados con la identidad, Microsoft advierte sobre la amenaza Octo Tempest, el nuevo ransomware Rorschach (también conocido como BabLock) afecta a una empresa de telecomunicaciones chilena y ALPHV/BlackCat realiza múltiples ataques.
Microsoft advierte sobre el actor de amenazas Octo Tempest
Microsoft publicó un perfil detallado del actor de amenazas Octo Tempest, que se asocia con el grupo de ransomware ALPHV/BlackCat para desatar ataques de extorsión de datos y ransomware contra organizaciones que prestan servicios de telecomunicaciones, correo electrónico y tecnología. Microsoft recomienda supervisar y revisar los procesos relacionados con la identidad, entre otras directrices.
El grupo Lazarus ataca repetidamente a un proveedor de software y a servidores TeamCity
El grupo cibercriminal norcoreano Lazarus atacó repetidamente a un proveedor de software para desplegar malware SIGNBT y reivindicó la autoría de un ataque a TeamCity, que fabrica servidores de integración y despliegue continuos. Los métodos de Lazarus incluyen comprometer Active Directory para obtener listas de cuentas de administrador.
Telecomunicaciones chilenas afectadas por el nuevo ransomware Rorschach, dirigido a los controladores de dominio
El Grupo GTD, una empresa de telecomunicaciones chilena que ofrece servicios en toda América Latina, fue blanco de un nuevo ransomware llamado Rorschach (también conocido como BabLock), que se despliega mediante una técnica de carga lateral de DLL. Cuando se ejecuta en un dominio de Windows, el ransomware crea una directiva de grupo para propagar el malware a otros hosts.
ALPHV/BlackCat incumple a Seiko, al tribunal de circuito de Florida y a MotelOne
El grupo de ransomware ALPHV/BlackCat reivindicó ataques contra el fabricante de relojes Seiko, el tribunal de circuito de Florida y la cadena de hoteles de bajo presupuesto MotelOne. ALPHV/BlackCat suele atacar Active Directory para entrar en los sistemas de información antes de lanzar el malware.
La plataforma de gestión de contraseñas 1Password, objetivo de la filtración de Okta
Los ciberatacantes obtuvieron acceso al inquilino de gestión de ID de Okta de 1Password, una plataforma de gestión de contraseñas, aunque la compañía afirmó que puso fin a la actividad maliciosa y no encontró evidencia de compromiso de datos. (Para obtener información sobre cómo mitigar las vulnerabilidades de Okta, consulte Using Purple Knight to Detect the Okta Super Admin Attack - Semperis).
Sony víctima del ataque MOVEit
El gigante del entretenimiento Sony ha revelado que la información de sus empleados quedó expuesta en los ataques a la plataforma MOVEit Transfer llevados a cabo por el grupo de ransomware Clop, que utiliza métodos que incluyen comprometer los servidores Active Directory (AD) de las víctimas y soltar malware.