Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca el aumento de la actividad de Conti, los atacantes de BlackCat que atacan servidores Exchange y mucho más.
El grupo Conti ataca a 40 organizaciones en un mes
El grupo Conti ransomware-as-a-service (RaaS) llevó a cabo una campaña que vulneró más de 40 organizaciones en un mes a finales de 2021. Conti, cuyas tácticas incluyen comprometer las credenciales de dominio de Active Directory, vigila con frecuencia las actualizaciones de Windows y analiza los cambios de los nuevos parches para descubrir nuevos enfoques de ataque.
CISA insta a las organizaciones a adoptar Exchange Online Modern Auth
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) instó a las agencias y organizaciones privadas que utilizan la plataforma de correo electrónico en la nube Microsoft Exchange a cambiar los modelos de autenticación heredados por Modern Auth (Active Directory Authentication Library y autenticación basada en tokens OAuth 2.0) para protegerse de los ataques de pulverización de contraseñas.
Los atacantes de BlackCat atacan servidores Exchange para obtener información de Active Directory
Microsoft ha advertido recientemente de que el grupo de ransomware BlackCat se dirige ahora a servidores Exchange para recopilar la información de Active Directory necesaria para comprometer el entorno y soltar cargas útiles de cifrado de archivos. Además de actualizar los servidores Exchange y supervisar el acceso a la red externa, Microsoft recomienda que las organizaciones revisen su postura de seguridad de identidades.
El grupo de ransomware Vice Society ataca la ciudad italiana de Palermo
Vice Society, que explota vulnerabilidades conocidas en sistemas sin parches -incluido el fallo PrintNightmare-, reivindicó la autoría de un ciberataque en Palermo (Italia). El ataque causó una interrupción a gran escala de los servicios en línea.
El grupo Black Basta se asocia con la operación de malware QBot para comprometer entornos corporativos
Black Basta, un nuevo grupo de ransomware, ha encontrado un rápido éxito en comprometer entornos corporativos al asociarse con los creadores de QBot (también conocido como QuakBot), malware de Windows que roba credenciales bancarias y credenciales de dominio de Windows, y luego deja caer malware en los dispositivos infectados.