Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los aspectos relacionados con la identidad de la brecha de SolarWinds, así como los ataques a una empresa de servicios eléctricos en Brasil y a un sistema escolar de Nueva York.
Las audiencias de SolarWinds ponen de manifiesto las lagunas en la seguridad de las identidades
Durante la primera audiencia pública del Congreso sobre la brecha de SolarWinds, los líderes tecnológicos de SolarWinds, Microsoft, FireEye y CrowdStrike testificaron ante el Comité de Inteligencia del Senado sobre los factores que condujeron al ataque. El presidente de Microsoft, Brad Smith, declaró que los atacantes entraron en los sistemas de algunos clientes a través de sistemas locales, accedieron a credenciales de administrador y, a continuación, escalaron a servicios en línea como Office 365. Los atacantes también utilizaron métodos comunes como la pulverización de contraseñas, según Kevin Mandia, CEO de FireEye.
Sean Deuby, Director de Servicios de Semperis, comentó en Enterprise Security Tech que algunas de las tácticas empleadas en la brecha no eran "tácticas altamente sofisticadas, exclusivas de un Estado-nación; son métodos de probada eficacia utilizados ampliamente por todos los malos actores para introducirse en Active Directory en organizaciones de todo el mundo".
El ataque a una compañía eléctrica brasileña compromete a AD
El grupo Darkside ejecutó un ataque de ransomware contra la empresa brasileña de servicios eléctricos Copel al obtener acceso a la solución de gestión de acceso privilegiado CyberArk de la empresa. Los atacantes afirman haber robado información confidencial, incluidos mapas de red, esquemas y calendarios de copias de seguridad y zonas de dominio para el sitio web público y la intranet de Copel. También afirman haber comprometido el archivo NTDS.dit de Active Directory.
Active Directory, objetivo de un ataque de malware contra escuelas de Nueva York
Un ataque de malware a las Victor Central Schools de Nueva York cifró datos y sistemas, incluido Active Directory, lo que obligó a cerrar las escuelas durante una semana. No se puso en peligro ningún dato personal o financiero; esa información estaba almacenada en servidores externos. El ataque de malware está siendo investigado por el Departamento de Seguridad Nacional y el FBI.
Más recursos
¿Quiere reforzar las defensas de su Active Directory contra los ciberataques? Consulte nuestros últimos recursos.