Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los ciberataques relacionados con la identidad, incluida la escalada de los ciberataques rusos contra agencias federales estadounidenses; el ataque patrocinado por el Estado contra un gobierno local estadounidense que aprovechó los errores de un dispositivo de Fortinet; el ataque Colonial Pipeline, dirigido contra vulnerabilidades de Windows; el ataque de ransomware MountLocker, que aprovechó las API de Windows Active Directory; y mucho más.
Microsoft informa de que los ciberdelincuentes rusos responsables del ataque a SolarWinds están intensificando sus esfuerzos
Tom Burt, vicepresidente de Microsoft, advirtió en un blog de que los ciberdelincuentes rusos que están detrás del ataque a SolarWinds están intensificando sus esfuerzos, desatando un ataque que permitió acceder a cuentas de correo electrónico de unas 150 organizaciones a través de Constant Contact, un servicio de marketing por correo electrónico utilizado por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID).
FBI: Ciberdelincuentes de APT aprovecharon fallos de Fortinet para atacar al gobierno local de EE.UU.
El FBI informa de que agentes de amenazas persistentes avanzadas (APT) patrocinados por el Estado aprovecharon los puntos débiles de un dispositivo de Fortinet para penetrar en los servidores web de una organización gubernamental local estadounidense. Tras obtener acceso, los ciberdelincuentes se desplazaron lateralmente por la red para crear nuevas cuentas de usuario de controlador de dominio, servidor y estación de trabajo.
Los atacantes de Colonial Pipeline atacaron vulnerabilidades de Windows, como AD
El ataque del ransomware Colonial Pipeline, que paralizó 8.000 km de oleoductos de combustible, es una prueba más de que el grupo responsable del ataque, DarkSide, prefiere atacar las vulnerabilidades de Windows, según Sean Deuby, Director de Servicios de Semperis, en un informe de Cyber Security Asean.
El ataque de Conti a los Servicios de Salud de Irlanda aprovechó el acceso a las credenciales de dominio de Windows
Conti, el grupo responsable del ciberataque contra los Servicios de Salud de Irlanda, aplicó un método de probada eficacia consistente en utilizar ataques de suplantación de identidad para instalar troyanos que proporcionaban acceso remoto a las máquinas infectadas, aprovechar ese acceso para acceder a las credenciales de dominio de Windows y, a continuación, desplegar el ransomware por toda la red.
El ransomware MountLocker se aprovecha de las API de Active Directory de Windows
El ransomware-as-a-service MountLocker utiliza ahora las API de Windows Active Directory para invadir redes, según un informe de Bleeping Computer. Después de utilizar la API para conectarse a los servicios AD de la víctima, los atacantes de MountLocker pueden encontrar dispositivos en el dominio comprometido y cifrarlos utilizando credenciales de dominio robadas.
CISA pide revisar los permisos para combatir la variante de ransomware FiveHands
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) advirtió de que una variante relativamente nueva de ransomware denominada FiveHands aprovecha vulnerabilidades tecnológicas de Microsoft. La CISA recomienda medidas preventivas, entre ellas implantar la cuenta con menos privilegios y habilitar la autenticación multifactor en las cuentas con privilegios.
El ataque de ransomware al condado del norte de California exigió la recuperación de AD
El equipo de TI del condado de Yuba, California, ofreció un relato detallado de su recuperación tras un ataque de ransomware, que incluyó la restauración de Active Directory después de que los ciberdelincuentes crearan una cuenta de administrador de empresa fraudulenta y cifraran 50 PC y 100 servidores.
Un analista concluye que los permisos defectuosos condujeron a la filtración de historiales médicos de veteranos
Un analista afirmó que hasta 200.000 historiales médicos de pacientes de la Administración de Veteranos de EE.UU. podrían haber sido comprometidos por una banda de ransomware que explotó una base de datos dejada abierta por un proveedor, permitiendo a cualquiera editar historiales sin credenciales administrativas y exponiendo contraseñas e información de facturación.
Informe: Las operaciones arriesgadas de Exchange encabezan la lista de detección de amenazas de Azure Active Directory
Un nuevo informe sobre detecciones de amenazas para Azure Active Directory y Office 365 ha identificado las operaciones de Exchange de riesgo como las principales amenazas en función de la frecuencia, y pone de relieve los retos de la gestión de permisos en entornos de identidad híbridos.
Las medidas preventivas de Bose tras el ataque incluían el restablecimiento de las contraseñas y una mayor supervisión de los cambios en las cuentas.
Tras verse afectado por un ransomware que puso en peligro algunos datos de clientes, el fabricante de equipos de audio Bose implantó medidas preventivas contra futuros ataques que incluían el restablecimiento de las contraseñas de todos los usuarios finales y cuentas privilegiadas, la mejora de la supervisión y el registro para detectar futuros cambios en las cuentas, y el cambio de las claves de acceso de todas las cuentas de servicio.
Más recursos
¿Quiere reforzar las defensas de su Active Directory contra los ciberataques? Consulte nuestros últimos recursos.