À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir ataques que envolvam o AD, a equipa de investigação da Semperis publica um resumo mensal de ciberataques recentes e fornece recursos adicionais para proteção contra ataques relacionados com a identidade. No resumo deste mês, a LockBit rouba dados da London Drugs, a Live Nation confirma uma violação de dados da Ticketmaster que envolveu um fornecedor externo e a Okta alerta para ataques de preenchimento de credenciais.
LockBit rouba dados da London Drugs num ataque de ransomware
O grupo de ransomware LockBit reivindicou um ataque em abril à cadeia canadiana London Drugs e ameaçou publicar online os dados roubados. O LockBit utiliza várias tácticas, técnicas e procedimentos (TTP) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.
Tomar medidas contra ataques de ransomware: Veja as orientações do CEO da Semperis, Mickey Bresman, sobre o desenvolvimento de um plano de recuperação cibernética para a AD, para evitar a extorsão por grupos de ransomware como o LockBit.
Live Nation confirma que a violação de dados da Ticketmaster envolveu um fornecedor externo
O gigante do entretenimento Live Nation informou que a sua filial Ticketmaster sofreu uma violação de dados que envolveu um terceiro fornecedor de dados na nuvem que se pensa ser a Snowflake.
Tomar medidas contra incidentes de segurança de terceiros: Os investigadores da Semperis Eric Woodruff e Tomer Nahum publicaram uma investigação original sobre uma nova técnica de ataque a que chamaram Silver SAML. O seu artigo inclui orientações para detetar e prevenir ataques à cadeia de fornecimento.
Os cibercriminosos visam a VPN remota da Check Point numa exploração de dia zero
A Check Point alertou os clientes para uma exploração de dia zero direccionada para o seu serviço VPN remoto que permitiu aos agentes de ameaças roubar dados do Active Directory que permitem o aumento de privilégios. Os atacantes estão a visar gateways de segurança utilizando contas locais VPN antigas com autenticação insegura apenas por palavra-passe. As correcções recomendadas incluem a rotação de palavras-passe para ligações LDAP da gateway para o AD e a pesquisa de registos para detetar comportamentos anómalos e inícios de sessão suspeitos.
Tomar medidas contra tentativas de escalonamento de privilégios: Para obter orientações detalhadas sobre como evitar ataques que usam consultas LDAP para acessar ativos confidenciais, consulte o blog do tecnólogo principal da Semperis, Sean Deuby, Top Active Directory Hardening Strategies.
A Okta relata ataques de preenchimento de credenciais direccionados para pontos finais
O fornecedor de serviços de identidade Okta alertou os clientes para um ataque de preenchimento de credenciais que visava a sua funcionalidade de autenticação Customer Identity Cloud (CIC).
Tome medidas contra ataques de preenchimento de credenciais: Saiba como o Semperis Lightning Identity Runtime Protection (IRP) ajuda a proteger contra ataques de preenchimento de credenciais, incluindo a pulverização de senhas.