À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes e fornece recursos adicionais para se protegerem contra ataques relacionados com a identidade. No resumo deste mês, os ataques a hospitais de Londres, ao fornecedor de seguros australiano Medibank e a clientes da Snowflake apontam para a necessidade de reforçar a resiliência operacional através da proteção do sistema de identidade, incluindo a aplicação de políticas MFA.
Os atentados nos hospitais de Londres suscitam apelos a uma maior resiliência operacional
Uma vaga de ciberataques dirigidos a hospitais londrinos, incluindo o King's College Hospital e o Guy's Hospital, causou grandes interrupções nos serviços e levou as organizações de cuidados de saúde a reverem os seus planos de proteção de activos críticos, incluindo o sistema de identidade, para garantir a resiliência operacional.
Tome medidas para garantir a resiliência operacional: Leia 5 etapas essenciais do ITDR que os CISOs devem conhecer para obter orientações sobre segurança que prioriza a identidade, automatizando a resposta a ataques e assumindo o pior cenário possível no planejamento de desastres.
Os autores das ameaças afirmam que utilizaram credenciais roubadas para contornar a Okta e violar a Snowflake
A empresa de cibersegurança Hudson Rock informou que os agentes da ameaça alegaram ter violado as contas de armazenamento na nuvem da Snowflake, utilizando credenciais roubadas para contornar o processo de autenticação segura da Okta. De acordo com a Hudson Rock, "uma única credencial resultou na exfiltração de potencialmente centenas de empresas que armazenavam os seus dados usando o Snowflake, com o próprio ator da ameaça a sugerir que 400 empresas foram afectadas".
Tome medidas para proteger o Okta: Baixe Purple Knight, uma ferramenta gratuita de avaliação de segurança do AD que verifica mais de 150 indicadores de segurança para Active Directory, Entra ID e Okta.
MFA não aplicado citado no ciberataque ao Medibank
O Comissário da Informação da Austrália publicou um relatório que descreve as configurações incorrectas e as falhas na aplicação das políticas MFA que levaram a um ciberataque ao fornecedor de seguros médicos australiano Medibank. Os agentes da ameaça utilizaram credenciais VPN roubadas para iniciar sessão na rede interna da empresa utilizando apenas um nome de utilizador e uma palavra-passe.
Tome medidas para aplicar as políticas de MFA: Consulte estas directrizes de Daniel Petri, Gestor de Formação Sénior da Semperis, para evitar a fadiga da MFA e garantir a autenticação de dois factores para contas sensíveis, incluindo contas de administrador do Active Directory.
Ataque da Ascension relacionado com um ficheiro malicioso descarregado por um funcionário
Um ficheiro malicioso descarregado por um funcionário, naquilo a que a Ascension chamou "um erro honesto", desencadeou o ciberataque reivindicado pelo grupo de ransomware como serviço (RaaS) Black Basta, que fez com que o sistema hospitalar deixasse de funcionar em maio. O Black Basta utiliza várias tácticas para comprometer os sistemas, incluindo a implementação do QBot, que extrai as credenciais de domínio do Windows e, em seguida, lança malware nos dispositivos infectados.
Tome medidas para proteger o Active Directory contra o acesso não autorizado: Saiba como usar a delegação em camadas e o gerenciamento de ACLs para impedir que agentes de ameaças obtenham acesso a ativos críticos.
Mais recursos
