Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los ciberataques relacionados con la identidad, incluidos los abusos de LockFile de los defectos ProxyShell y PetitPotam, el aumento de los ataques LockBit 2.0 y la expansión de los exploits Hive.
Los atacantes de LockFile aceleran el uso de los fallos ProxyShell Exchange Server y PetitPotam
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) advirtió de que los atacantes de LockFile están explotando activamente el fallo ProxyShell Exchange Server y la vulnerabilidad PetitPotam para obtener acceso a Active Directory y a las redes asociadas y, posteriormente, lanzar malware.
Aumento de los ataques LockBit 2.0
El aumento de los ataques LockBit 2.0, entre los que se incluye la violación de los sistemas de la consultora global Accenture, ha llevado al Centro Australiano de Ciberseguridad a publicar una advertencia sobre un "aumento brusco y significativo" de los ataques denunciados. LockBit 2.0 cifra automáticamente dispositivos en dominios de Windows abusando de las políticas de grupo de Active Directory.
El desmantelamiento del sistema sanitario de Hive dispara la alerta del FBI
El FBI emitió una alerta y una lista de Indicators of Compromise (IOCs) asociada al ransomware Hive después de que el grupo derribara el Memorial Health System, que opera en Ohio y Virginia. Entre otras tácticas, Hive utiliza software de administración remota como ConnectWise para infiltrarse en los sistemas y establecer persistencia, y luego despliega herramientas como ADRecon para mapear el entorno Active Directory.
Una filial de Nokia sufre el ataque del ransomware Conti
SAC Wireless, filial de Nokia, sufrió un ataque de ransomware por parte del grupo Conti, que penetró en la red, robó datos y cifró sistemas. El ataque llevó a la empresa a reforzar las políticas de acceso a los sistemas y a ampliar los requisitos de autenticación multifactor (MFA), entre otras medidas correctoras.
Sospecha de maldad en el ataque al hospital de Nevada
El Centro Médico Universitario del Sur de Nevada informó de un ataque de ransomware que, según los analistas, podría ser obra del grupo REvil, que utiliza diversas tácticas para vulnerar los sistemas, incluida la explotación de los privilegios de administrador.
El desarrollador de juegos Crytek denuncia el ataque del ransomware Egregor
El grupo de ransomware como servicio Egregor penetró en los sistemas de información del desarrollador de juegos Crytek, cifrando datos y robando información de clientes. Egregor, responsable de los famosos ataques a los minoristas Barnes & Noble y Kmart, aprovecha los errores de configuración de Active Directory para penetrar en las redes.
Las amenazas de BazaCall utilizan centros telefónicos para lanzar malware
Microsoft intensificó las advertencias sobre las amenazas BazaCall, que engañan a las víctimas para que llamen a un centro telefónico fraudulento y descarguen el ransomware BazaLoader con la guía paso a paso de operadores humanos. Tras la intrusión inicial, los atacantes utilizan ADFind (una herramienta gratuita de detección de AD desde la línea de comandos) para intensificar el reconocimiento de los sistemas de las víctimas.