À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês de ataques relacionados com a identidade, a Midnight Blizzard atinge a Microsoft e a HPE, o grupo de ransomware Cactus visa a Schneider Electric e a LockBit reivindica ataques à EquiLend e à Capital Health.
O ataque da Midnight Blizzard à Microsoft envolveu a pulverização de palavras-passe, a falta de MFA e o aumento de privilégios
O ataque da Midnight Blizzard (também conhecida como Nobelium ou APT29) que violou as contas de correio eletrónico dos executivos da Microsoft incluiu várias tácticas, incluindo ataques de força bruta de pulverização de palavras-passe e proxies residenciais, para obter acesso a uma conta de inquilino de teste não produtiva que não tinha o MFA ativado. Assim que os agentes da ameaça obtiveram acesso à conta, que tinha acesso elevado ao ambiente empresarial da empresa, puderam aumentar o seu acesso. A Midnight Blizzard também visou contas de correio eletrónico da Hewlett-Packard Enterprise (HPE).
O ransomware Cactus atinge a Schneider Electric
O grupo de ransomware Cactus, que utiliza credenciais compradas e outras tácticas para invadir redes e obter privilégios administrativos, reivindicou a responsabilidade por um ciberataque à empresa de energia Schneider Electronic.
LockBit reclama a responsabilidade pela violação da EquiLend
O grupo de ransomware LockBit reivindicou um ataque à empresa global de fintech EquiLend que interrompeu os serviços apenas uma semana depois de a empresa ter anunciado a sua próxima aquisição por uma empresa de capital privado.
Jason's Deli é alvo de ataques de credential stuffing
Os agentes da ameaça comprometeram os dados pessoais dos clientes num ataque de preenchimento de credenciais contra a Jason's Deli, uma cadeia de restaurantes dos EUA.
Nova vulnerabilidade de desvio de autenticação expõe o GoAnywhere Managed File Transfer a ataques
Uma falha recentemente descoberta nas versões do GoAnywhere Managed File Transfer anteriores à 7.4.1 permite que os atacantes criem um novo utilizador administrador através do portal de administração do produto, o que pode levar à aquisição do dispositivo.
O grupo de ransomware Akira tem como alvo a empresa sueca Tietoevry
O grupo de ransomware Akira comprometeu contas que não estavam protegidas por MFA para lançar um ataque que derrubou os centros de dados da empresa sueca Tietoevry.
LockBit ataca a Capital Health num ataque de ransomware
O grupo de ransomware LockBit reivindicou um ataque à Capital Health, um prestador de cuidados de saúde primários em Nova Jérsia e Pensilvânia, que extraiu dados médicos sensíveis dos pacientes para fins de extorsão. As tácticas do LockBit incluem a exploração de vulnerabilidades no AD.