Los ciberataques dirigidos a Active Directory (AD) van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a comprender mejor y protegerse contra los ataques que afectan a AD, el equipo de investigación de Semperis ofrece este resumen mensual de ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca nueva información sobre ataques recientes relacionados con la identidad, incluidos los ataques HermeticWiper contra organizaciones ucranianas, la campaña de ingeniería social Lapsus$ (también conocida como Dev-0537) y los ataques AvosLocker contra objetivos de infraestructuras críticas.
Los atacantes obtuvieron acceso AD y desplegaron HermeticWiper en ataques contra organizaciones ucranianas.
En una campaña que llevaba meses planeándose, los actores de la amenaza consiguieron acceder a los servidores AD e implantaron el malware HermeticWiper a través de la política de dominio predeterminada.
Lapsus$ alias Dev-0537 utiliza la ingeniería social y la extorsión para acceder a los sistemas de información
A través de la ingeniería social y la extorsión, el grupo de ransomware Lapsus$ (Dev-0537) utilizó credenciales comprometidas para acceder a los sistemas de información de las organizaciones, incluyendo proveedores de identidad como Azure Active Directory y Okta.
El ransomware AvosLocker ataca objetivos de infraestructuras críticas
Utilizando varios métodos para obtener privilegios de administrador de dominio en las cuentas AD de las víctimas, el grupo de ransomware-as-a-service AvosLocker se dirigió a múltiples organizaciones de sectores de infraestructuras críticas, incluidas organizaciones gubernamentales, manufactureras y de servicios financieros.
LockBit 2.0 se responsabiliza del ataque a Bridgestone
El grupo de ransomware como servicio LockBit 2.0 ha reivindicado recientemente la autoría de los ataques contra el proveedor japonés de automoción Bridgestone. LockBit utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluyendo el abuso de las políticas de grupo AD para cifrar dispositivos a través de dominios de Windows.
CISA renueva el parche PrintNightmare y las advertencias de configuración MFA
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), en un aviso conjunto con el FBI, emitió nuevas advertencias de que los hackers rusos están explotando activamente fallos no parcheados, como PrintNightmare, y prácticas de riesgo, como políticas MFA no aplicadas, que les permiten acceder a las redes y desplegar malware.