Los ciberataques contra Active Directory van en aumento, lo que obliga a los equipos de seguridad, identidad y AD a vigilar el cambiante panorama de las amenazas contra AD. Para ayudar a los profesionales de TI a comprender mejor y protegerse contra los ciberataques dirigidos a Active Directory, el equipo de investigación de Semperis ofrece este resumen mensual de ataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los ataques BlackCat que provocaron una advertencia del FBI, un ataque del grupo Conti a Panasonic, un ataque Hive a una empresa sanitaria de California y mucho más.
La actividad del ransomware BlackHat provoca la alerta del FBI
La Oficina Federal de Investigación de Estados Unidos (FBI) emitió una advertencia sobre el grupo de ransomware como servicio (RaaS) BlackCat (también conocido como ALPHV), que ha atacado a docenas de organizaciones en todo el mundo desde noviembre de 2021. Sospechoso de estar relacionado con REvil y con el grupo BlackMatter (Darkside) que atacó Colonial Pipeline en mayo de 2021, BlackCat ataca Active Directory para entrar en los sistemas de información antes de lanzar el malware.
Empresas rusas afectadas por la filtración del ransomware Conti
Las herramientas desarrolladas originalmente por el grupo ruso de ransomware Conti y filtradas por un desarrollador ucraniano de ransomware se utilizaron para atacar a varias empresas rusas. Las tácticas de Conti incluyen la obtención de credenciales de administrador de dominio de Active Directory antes de desplegar el ransomware.
El grupo de ransomware Hive ataca a Partnership HealthPlan of California
El grupo de ransomware Hive reivindicó la autoría de un ataque que extrajo datos privados de 850.000 miembros de Partnership HealthPlan of California. Entre otras tácticas, Hive utiliza software de administración remota para infiltrarse en los sistemas y establecer persistencia, y luego despliega herramientas como ADRecon para mapear el entorno AD.
Conti reivindica el ataque a las operaciones canadienses de Panasonic
En la segunda brecha desde noviembre de 2021, Panasonic informó que sus operaciones canadienses fueron víctimas de un ciberataque dirigido. El grupo de ransomware Conti, que recientemente contrató a antiguos talentos de TrickBot para ampliar su capacidad de comprometer las credenciales de dominio de Active Directory, se atribuyó la responsabilidad.