A medida que aumentan los ciberataques contra Active Directory, la seguridad de AD, la identidad y los equipos de TI se enfrentan a una presión cada vez mayor para supervisar la evolución del panorama de amenazas centradas en AD. Para ayudar a los profesionales de TI a comprender y prevenir los ataques que afectan a AD, el equipo de investigación de Semperis publica un resumen mensual de ciberataques recientes. En el resumen de este mes de ataques relacionados con la identidad, un ataque relacionado con la identidad tiene como objetivo Johnson Controls, la brecha de MOVEit reclama más víctimas en Canadá y EE.UU., y el grupo Royal ransomware reclama la brecha de la ciudad de Dallas.
Dispositivos de Johnson Controls encriptados en un ataque de ransomware
La empresa de automatización Johnson Controls informó de interrupciones informáticas a gran escala después de que un ataque de ransomware cifrara dispositivos en toda la organización. Un investigador de amenazas descubrió una nota de ransomware en la que se afirmaba que los atacantes utilizaron un cifrador de VMware ESXi desarrollado por Dark Angels, un grupo de ransomware que utiliza diversas tácticas para penetrar en las redes y desplazarse lateralmente para hacerse con el control de los controladores de dominio de Windows.
La brecha de MOVEit se cobra víctimas en Canadá y EE.UU.
Los ataques de robo de datos MOVEit del grupo de ransomware Clop se cobraron varias víctimas en Canadá y Estados Unidos, entre ellas el Hospital for Sick Children, el registro de niños BORN Ontario y National Student Clearinghouse en Estados Unidos. Los métodos de ataque de Clop incluyen atacar toda la red de la víctima comprometiendo el servidor Active Directory (AD) y soltando malware.
Un grupo de ransomware real denuncia una filtración en la ciudad de Dallas
Un ataque a la ciudad de Dallas en mayo, que dejó fuera de servicio los sistemas informáticos, fue reivindicado por el grupo de ransomware Royal, que robó una cuenta de servicio de dominio que los atacantes utilizaron después para filtrar archivos y soltar cargas útiles Cobalt Strike.
BlackCat/ALPHV apunta a un grupo de casinos
El grupo de ransomware BlackCat/ALPHV reivindicó un ataque a MGM que interrumpió las operaciones. BlackCat/ALPHV, que habitualmente ataca Active Directory para entrar en los sistemas de información antes de lanzar el malware, también utiliza el cifrador Sphynx para atacar cuentas de almacenamiento en la nube Azure.
Los atacantes iraníes de APT33 atacan a las organizaciones de defensa con ataques de pulverización de contraseñas dirigidos a Entra ID (Azure AD)
Microsoft informó que el grupo cibercriminal iraní APT33 utilizó tácticas de pulverización de contraseñas para obtener acceso a credenciales de Entra ID (Azure AD) en infracciones generalizadas contra organizaciones de defensa globales.