Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca la emergente Bloody Ransomware Gang, una campaña de envenenamiento SEO que podría llevar a comprometer Active Directory, y múltiples ataques reivindicados por el grupo de ransomware Hive.
Un grupo emergente de ransomware utiliza un constructor de LockBit filtrado en ataques a una entidad ucraniana
La Bloody Ransomware Gang, que comenzó a operar en mayo de 2022 con ataques a consultorios médicos y dentales de Nueva York, utilizó un constructor de ransomware LockBit 3.0 que se filtró en Twitter para lanzar ataques contra una organización ucraniana. El grupo LockBit utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos en todos los dominios de Windows.
Una campaña de envenenamiento SEO compromete a varias organizaciones
Los ciberdelincuentes utilizaron una campaña de envenenamiento SEO para atacar a varias organizaciones dirigiéndose a empleados que utilizan determinados términos de búsqueda y llevándoles a hacer clic en resultados de búsqueda maliciosos. Las víctimas que hacen clic en los recursos ofrecidos en páginas de foros falsos desencadenan un malware que recopila información del usuario que podría exponer el nombre de dominio corporativo interno de la organización, lo que podría conducir a un compromiso de Active Directory.
Lapsus$ vulnera los sistemas internos de Uber
El grupo de ciberdelincuentes adolescentes Lapsus$ reivindicó la autoría de un ataque que comprometió los sistemas de Uber, incluidos su canal de Slack y los sitios web de su intranet. Microsoft ha advertido de varias tácticas que utiliza Lapsus$, entre ellas explotar fallos en herramientas como Confluence y GitLab para obtener credenciales de cuentas privilegiadas y utilizar un comando integrado de Microsoft (ntdsutil) para extraer la base de datos AD de una red objetivo.
El grupo Hive reivindica la autoría de atentados contra organizaciones en Nueva York y Canadá
El grupo de ransomware Hive se atribuyó los ataques del verano pasado contra la New York Racing Association y Empress EMS, un servicio de emergencias y proveedor de ambulancias con sede en Nueva York. Hive también reivindicó recientemente un ataque a la filial de Bell Canada, Bell Technical Solutions. Entre otras tácticas, Hive utiliza software de administración remota para infiltrarse en los sistemas y establecer persistencia, y luego despliega herramientas como ADRecon para mapear el entorno AD.
BlackCat reivindica el ataque a la agencia italiana de la energía
El grupo de ransomware BlackCat (también conocido como AlphV) reivindicó la autoría de un ataque contra la agencia energética italiana Gestore dei Servizi Energetici SpA (GSE) que dejó fuera de servicio su sitio web y otros sistemas. Microsoft advirtió recientemente de que el grupo de ransomware BlackCat tiene como objetivo servidores Exchange para recopilar información de Active Directory necesaria para comprometer el entorno y soltar cargas útiles de cifrado de archivos.