À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês, a Espanha alerta para ataques de phishing que utilizaram o ransomware LockBit Locker, o grupo de ransomware Rhysida reivindicou um ataque à Prospect Medical e o BlackCat visou o fabricante de relógios Seiko.
A campanha de ransomware LockBit Locker visa empresas de arquitetura em Espanha
Um grupo de ransomware que se crê não estar associado ao grupo LockBit utilizou a tecnologia de encriptação LockBit Locker numa campanha contra empresas de arquitetura espanholas. A campanha utiliza e-mails de phishing que se fazem passar por uma loja de fotografia para obter acesso a privilégios de administrador em máquinas Windows.
Grupo Rhysida reivindica ataque ao Prospect Medical
O grupo de ransomware Rhysida reivindicou um ataque à Prospect Medical Holdings que extraiu 500.000 números da Segurança Social, documentos empresariais e registos de pacientes. Entre outras tácticas, o Rhysida utiliza um script PowerShell para comprometer as máquinas, incluindo o encerramento de configurações RDP e a alteração de palavras-passe do Active Directory.
BlackCat reivindica ataque ao fabricante de relógios Seiko
O fabricante japonês de relógios Seiko sofreu um ataque de ransomware do grupo BlackCat/ALPHV que divulgou planos de produção, digitalizações de passaportes de funcionários, resultados de testes laboratoriais e informações sobre o design de relógios em perspetiva. O BlackCat visa o Active Directory para entrar nos sistemas de informação antes de lançar o malware.
Grupo de ransomware cubano visa infra-estruturas críticas nos EUA e na América Latina
O grupo de ransomware de Cuba comprometeu organizações de infra-estruturas críticas nos EUA e na América Latina, explorando uma vulnerabilidade no protocolo NetLogon da Microsoft para efetuar uma escalada de privilégios contra os controladores de domínio do Active Directory.
A violação do MOVEit estende-se ao Colorado, Missouri e ao contratante governamental norte-americano Serco
A violação do MOVEit conduzida pelo ransomware Clop atingiu mais vítimas, incluindo o Departamento de Política e Financiamento de Cuidados de Saúde do Colorado (HCPF), o Departamento de Serviços Sociais do Missouri e a empresa contratada pelo governo dos EUA, a Serco. Os métodos de ataque do Clop incluem visar toda a rede da vítima, comprometendo o servidor Active Directory (AD) e lançando o malware.