Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca el malware limpiador de datos utilizado en ciberataques que acabaron con sitios web gubernamentales y bancarios ucranianos, los errores de NOAA que facilitaron Colonial Pipeline y otros ataques, y la adquisición por parte de Conti del talento de TrickBot para ampliar las técnicas de ataque.
Ciberatacantes ucranianos se hacen con el control de Active Directory para lanzar malware de limpieza de datos
En las primeras horas del ataque ruso a Ucrania, los ciberatacantes desconectaron agencias gubernamentales y bancos ucranianos lanzando malware de barrido de datos. En al menos un caso, los ciberatacantes se hicieron con el control del servidor Active Directory antes de lanzar el malware wiper a través de un GPO de política de dominio.
Auditoría: NOAA gestionó "inadecuadamente" Active Directory, lo que llevó a Colonial Pipeline y otros exploits.
Según una auditoría de la Oficina del Inspector General de Estados Unidos, la Administración Nacional Oceánica y Atmosférica (NOAA) gestionó "inadecuadamente" Active Directory y no protegió objetivos principales como las credenciales de usuario, vulnerabilidades que se aprovecharon en el ataque al oleoducto Colonial Pipeline, así como en otros ataques que permitieron a los grupos de ransomware DarkSide y REvil obtener acceso remoto a entidades estadounidenses.
Conti adquiere el talento de TrickBot para ampliar los exploits de Active Directory
El grupo de ransomware Conti ha contratado a antiguos especialistas en penetración de TrickBot para ampliar su capacidad de obtener credenciales de administrador de dominio de Active Directory en los sistemas de las organizaciones víctimas antes de desplegar el ransomware. Los ciberdelincuentes utilizaron recientemente una campaña de phishing contra clientes del Servicio Postal de Estados Unidos para engañarles e instalar el malware TrickBot.
Los ataques de la Cruz Roja aprovechan un fallo de software de terceros para comprometer Active Directory
Agentes maliciosos utilizaron un fallo en Zoho ManageEngine ADSelfService Plus para atacar al Comité Internacional de la Cruz Roja (CICR), comprometiendo los datos de más de 515.000 personas. El fallo no parcheado permitió a los atacantes comprometer cuentas administrativas, moverse lateralmente por el sistema y extraer archivos del registro de Windows y archivos AD.
El FBI advierte sobre los ataques LockBit 2.0
La Oficina Federal de Investigación de Estados Unidos (FBI) publicó indicadores de compromiso (IOC) asociados con el ransomware LockBit 2.0, que utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos a través de dominios de Windows.