À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês, os ataques de exploração MOVEit fazem mais vítimas, a Microsoft relata violações de contas de e-mail que envolveram uma chave de assinatura empresarial do Azure AD roubada e tanto a BlackCat como a Clop reivindicam ataques à empresa de beleza Estée Lauder.
Cibercriminosos chineses utilizam uma chave de assinatura roubada do Azure AD para comprometer contas de correio eletrónico
A Microsoft informou que um grupo de ciberespionagem chinês, denominado Storm-0558, utilizou uma chave de assinatura empresarial do Azure AD roubada para violar as contas de correio eletrónico de cerca de 25 organizações, incluindo, alegadamente, os Departamentos de Estado e de Comércio dos EUA.
Deutsche Bank, Maximus e Colorado State juntam-se à lista de vítimas da violação do MOVEit
O empreiteiro de serviços governamentais dos EUA Maximus, o Deutsche Bank e a Universidade do Estado do Colorado foram três das mais recentes vítimas que comunicaram que os seus dados foram comprometidos nos recentes ataques de roubo de dados MOVEit Transfer. O grupo de ransomware Clop explorou uma falha de dia zero na aplicação de transferência de ficheiros para violar empresas em todo o mundo, incluindo o fornecedor de seguros Genworth Financial da Virgínia e o Sistema de Reforma dos Funcionários Públicos da Califórnia (CalPERS). Os métodos de ataque do Clop incluem visar toda a rede da vítima, comprometendo o servidor Active Directory (AD) e lançando malware.
ALPHV/BlackCat e Clop reivindicam ataques à empresa de beleza Estée Lauder
Tanto a ALPHV/BlackCat como a Clop foram responsáveis por ciberataques ao gigante da beleza Estée Lauder Companies, tendo a Clop obtido acesso através da vulnerabilidade MOVEit Transfer. A BlackCat queixou-se de que a empresa se recusou a entrar em negociações e, em seguida, divulgou uma API para o seu site de fugas, num esforço para aumentar a visibilidade dos seus ataques e pressionar as vítimas a pagar um resgate, uma tática que a Clop rapidamente copiou, criando sites alojados na Internet dedicados a vítimas específicas.