Los ciberataques dirigidos a Active Directory están en auge, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a comprender mejor y protegerse contra los ataques que afectan a AD, el equipo de investigación de Semperis ofrece este resumen mensual de ciberataques recientes que utilizaron las brechas del sistema de identidad para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca la conexión de Active Directory con el ataque Microsoft Exchange Hanium y otros ataques relacionados con la identidad, incluido el robo de código fuente de Mimecast, una brecha en la plataforma de vídeo Verdaka y un ataque de ransomware al minorista FatFace.
En la filtración de Microsoft Exchange se robaron copias de bases de datos AD
La violación de Microsoft Exchange por parte de Hafnium tuvo como objetivo los servidores Exchange locales de las empresas víctimas y permitió a los atacantes comprometer Active Directory, según Volexity. Además de realizar operaciones para volcar credenciales y añadir cuentas de usuario, el atacante pudo robar copias de las bases de datos de Active Directory y desplazarse lateralmente a otros sistemas y entornos.
Los atacantes de SolarWinds atacaron los sistemas AD de Mimecast para acceder al código fuente
Los atacantes responsables de la brecha de SolarWinds también atacaron Mimecast, robando un certificado utilizado para autenticar a los clientes y descargando el código fuente. El actor de la amenaza accedió al entorno Windows de Mimecast y utilizó credenciales de cuentas de servicio para vulnerar los sistemas locales y los servicios en la nube de Mimecast, incluido Azure Active Directory.
Los atacantes utilizaron credenciales de administrador para violar la red de vídeo de Verdaka
El grupo APT-69420 Arson Cats accedió a credenciales de superadministrador para vulnerar más de 150.000 cámaras de vigilancia gestionadas por Verdaka, una plataforma de software que integra cámaras de videovigilancia, soluciones de control de acceso y otras tecnologías. Tras encontrar las credenciales en un complemento expuesto públicamente en el servidor de Verdaka, los atacantes iniciaron sesión en la aplicación web de la empresa con privilegios elevados y navegaron por las imágenes de vídeo en directo de miles de cámaras.
El grupo de ataque aconseja a la víctima FatFace que revise las políticas de AD
Tras exigir un rescate de 2 millones de dólares, el grupo de ataque Conti aconsejó a su víctima, el minorista de moda FatFace, que revisara su política de contraseñas de Active Directory. Conti también aconsejó a FatFace que aplicara otras medidas preventivas, como el filtrado del correo electrónico, la realización de pruebas de phishing entre los empleados, la inversión en una mejor tecnología de detección y respuesta de puntos finales y la implantación de almacenamiento offline y copias de seguridad en cinta. El grupo accedió a la red de FatFace mediante un ataque de phishing, obtuvo derechos administrativos generales y extrajo datos de los servidores de copia de seguridad y los dispositivos de almacenamiento.
Más recursos
¿Quiere reforzar las defensas de su Active Directory contra los ciberataques? Consulte nuestros últimos recursos.