À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês, o LockBit visa os servidores da Papercut, o BlackBasta atinge as Páginas Amarelas do Canadá e o BlackCat/ALPHV compromete o sistema de ponto de venda (POS) Aloha da NCR.
Ataques Papercut atribuídos aos grupos de ransomware Clop e LockBit
A Microsoft atribuiu os ataques ao software de gestão de impressão Papercut aos grupos de ransomware Clop e LockBit. As tácticas do LockBit incluem a exploração de vulnerabilidades da Política de Grupo do Active Directory.
Black Basta reivindica ataques às Páginas Amarelas canadianas e à Capita
O grupo de ransomware como serviço (RaaS) Black Basta reivindicou a responsabilidade por um ataque à editora canadiana de directórios Yellow Pages Group. O Black Basta utiliza várias tácticas para comprometer os sistemas, incluindo a implantação do QBot, que extrai as credenciais de domínio do Windows e, em seguida, descarrega malware nos dispositivos infectados. A Black Basta também reivindicou um ataque à Capita, um grupo de outsourcing sediado em Londres. Esse ataque impediu o acesso às aplicações Microsoft Office 365 da Capita.
BlackCat/ALPHV reivindica ataque à NCR
O BlackCat atingiu a plataforma Aloha POS da NCR com um ataque que visou os seus centros de dados, causando uma interrupção que afectou as operações de rotina, incluindo os serviços de processamento de salários. As tácticas do BlackCat incluem visar os servidores Exchange para recolher as informações do Active Directory necessárias para comprometer o ambiente e lançar cargas úteis de encriptação de ficheiros.