Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca nuevos ataques de LockBit a entidades públicas de California y Portugal, un ataque de Hive a un hospital de Luisiana y un ataque de BlackCat al proveedor de energía colombiano EPM.
LockBit reivindica el ataque al puerto de Lisboa
El grupo de ransomware LockBit reivindicó un ataque el día de Navidad contra el Puerto de Lisboa, en Portugal, que comprometió datos pero no afectó a las operaciones portuarias, aunque el sitio web oficial del puerto quedó fuera de línea. El puerto, considerado una infraestructura crítica, es uno de los más visitados de Europa y presta servicio a portacontenedores, cruceros y embarcaciones de recreo. LockBit también reivindicó recientemente la autoría de un ataque contra el Departamento de Finanzas de California. El grupo LockBit utiliza diversas tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos en todos los dominios de Windows.
El grupo de ransomware Hive reivindica el ataque a un hospital de Luisiana
El grupo de ransomware Hive reivindicó la autoría de un ataque de ransomware en octubre contra el Lake Charles Memorial Health System de Luisiana que puso en peligro los datos de unos 270.000 pacientes. Entre otras tácticas, Hive utiliza software de administración remota para infiltrarse en los sistemas y establecer persistencia, y luego despliega herramientas como ADRecon para mapear el entorno AD.
El grupo de ransomware BlackCat golpea al proveedor de energía colombiano EPM
Un ataque de BlackCat/ALPHV contra el proveedor de energía colombiano EPM hizo caer las operaciones de uno de los mayores proveedores de energía pública, agua y gas del país. Microsoft ha advertido recientemente de que el grupo de ransomware BlackCat ataca servidores Exchange para recopilar la información de Active Directory necesaria para comprometer el entorno y lanzar cargas útiles de cifrado de archivos.