Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca las acciones para mitigar dos vulnerabilidades de Active Directory que podrían permitir a los atacantes tomar el control de dominios de Windows, la vulnerabilidad Log4j y la nueva actividad del grupo de ransomware Cuba.
Se aconseja la aplicación de parches y la adopción de medidas adicionales para hacer frente a las vulnerabilidades de Active Directory
Tras publicar parches de seguridad para dos vulnerabilidades de Active Directory durante el martes de parches de noviembre de 2021, Microsoft instó a los clientes el 20 de diciembre a aplicar los parches inmediatamente para evitar que los atacantes se apoderen de los dominios de Windows. Además de aplicar los parches, las organizaciones pueden tomar medidas adicionales para evitar la creación no autorizada de cuentas que podrían conducir a una escalada de privilegios y a un ataque.
El ransomware Conti aprovecha una vulnerabilidad de Log4j
El grupo Conti, con sede en Rusia, ha desarrollado una completa cadena de ataque basada en la vulnerabilidad Log4j de la biblioteca de registro Apache descubierta en diciembre. La metodología de ataque incluye Kerberoasting, que extrae credenciales de cuentas de servicio de Active Directory. La vulnerabilidad Log4j es sospechosa en un ataque de ransomware a Kronos, una de las mayores empresas de software de recursos humanos, que interrumpió los sistemas de nóminas de organizaciones como la Autoridad de Transporte Metropolitano de Nueva York (MTA) y muchos hospitales.
El FBI advierte de la actividad de un grupo de ransomware cubano dirigido a infraestructuras críticas
La Oficina Federal de Investigación de Estados Unidos (FBI) descubrió tácticas, incluidas credenciales comprometidas, utilizadas por el grupo de ransomware Cuba para comprometer a docenas de entidades de infraestructuras críticas en sectores que abarcan la sanidad, la administración pública y otras industrias.
La táctica del ransomware ALPHV BlackCat incluye la configuración de credenciales de dominio
El grupo de investigación MalwareThreatHunter descubrió ALPHV BlackCat, un nuevo y sofisticado ransomware que incluye un conjunto de características personalizables que permiten a los actores de amenazas -entre otras tácticas- configurar credenciales de dominio para propagar malware y cifrar dispositivos en la red.
Más recursos
¿Quiere reforzar las defensas de su Active Directory contra los ciberataques? Consulte nuestros últimos recursos.
- 3 pasos para mitigar dos recientes fallos de seguridad de escalada de privilegios en el servicio de dominio de Active Directory | Semperis
- Comprender los riesgos de la configuración de compatibilidad anterior a Windows 2000 en Windows 2022 | Semperis
- 6 conclusiones de la Conferencia Mundial HIP 2021 | Semperis