À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. O resumo deste mês inclui ataques de exploração em larga escala do MOVEit pelo grupo de ransomware Clop, ataques BlackCat ao Reddit e ao escritório de advocacia australiano HWL, entre outros.
Clop gang reivindica ataques do MOVEit
O grupo de ransomware Clop reivindicou a responsabilidade por ataques em grande escala que exploram vulnerabilidades de dia zero na solução de transferência gerida de ficheiros (MFT) MOVEit Transfer. As vítimas incluem o Departamento de Educação da Cidade de Nova Iorque, o fornecedor de seguros Genworth Financial da Virgínia, o Sistema de Reforma dos Funcionários Públicos da Califórnia (CalPERS), o Gabinete de Veículos Motorizados do Louisiana e os Serviços de Condução e Veículos Motorizados do Oregon. Os métodos de ataque do Clop incluem visar toda a rede da vítima, comprometendo o servidor Active Directory (AD) e lançando malware.
A Microsoft corrige a falha de autorização que permite a aquisição de contas do Azure AD
A Microsoft lançou uma correção para uma falha de autenticação no Azure AD que permite que agentes maliciosos aumentem os privilégios e assumam o controlo de contas. As organizações vulneráveis à configuração incorrecta incluem uma aplicação de design, uma empresa de experiência do cliente e uma empresa de consultoria multi-nuvem.
Grafana lança correção para falha que permite contornar a autenticação do Azure AD
A Grafana, uma aplicação de análise e visualização de código aberto, lançou correcções de segurança para resolver uma vulnerabilidade que permite aos ciberataques contornar a autenticação do Azure AD e assumir o controlo das contas Grafana.
O grupo de ransomware ALPHV/BlackCat ameaça divulgar dados da violação do Reddit
O grupo de ransomware BlackCat (também conhecido por ALPHV) reivindicou o ataque de fevereiro ao Reddit e ameaçou divulgar dados se os pedidos de resgate não fossem satisfeitos. O BlackCat também reivindicou um ataque em abril à empresa australiana HWL Ebsworth e publicou 1,45 TB de dados roubados. Suspeita-se que esteja ligado ao REvil e ao grupo BlackMatter (Darkside) que atacou a Colonial Pipeline em maio de 2021, o BlackCat visa o Active Directory para obter acesso aos sistemas de informação antes de lançar malware.