À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês de ataques relacionados com a identidade, as ramificações da violação da Okta expandem-se, os atacantes visam o Active Directory de uma agência espacial japonesa e o grupo de ransomware BlackCat/ALPHV lança repetidos ataques à empresa de cuidados de saúde Henry Schein.
Ataque à Okta comprometeu dados de utilizadores do serviço de apoio ao cliente
Os atacantes que visaram a Okta num ataque em outubro obtiveram dados de utilizadores do sistema de apoio ao cliente. A Okta observou que muitos dos utilizadores expostos eram administradores, alguns dos quais não tinham implementado a MFA, o que levou a empresa a recomendar a implementação da MFA para o acesso de administradores, exigindo a reautenticação para sessões de administração a partir de novos endereços IP, definindo tempos limite de sessão de administração e aumentando a vigilância contra tentativas de phishing.
Atacantes atacam o Active Directory da agência espacial japonesa
Um ataque à agência espacial japonesa JAXA visou o servidor Active Directory da organização, expondo potencialmente informações críticas, incluindo credenciais de funcionários.
A empresa de cuidados de saúde Henry Schein sofre um novo ataque do BlackCat/ALPHV
O grande fornecedor de produtos e serviços de saúde Henry Schein, sediado nos EUA, sofreu um segundo ataque em novembro, depois de o grupo de ransomware BlackCat/ALPHV ter visado a empresa pela primeira vez em outubro. O ataque derrubou algumas das suas aplicações e a plataforma de comércio eletrónico. O ALPHV/BlackCat visa frequentemente o Active Directory para entrar nos sistemas de informação antes de lançar o malware.
O ataque do MOVEit afecta o prestador de cuidados de saúde Welltok, a AutoZone e o Estado do Maine
O prestador de cuidados de saúde norte-americano Welltok informou que foi vítima do ataque aos servidores MOVEit Transfer lançado pelo grupo de ransomware Clop e que a violação afectou mais de 8 milhões de pessoas. A AutoZone também informou que foi vítima do ataque do MOVEit, tal como o estado do Maine.
LockBit reivindica ataques a contratantes do governo canadiano e à Boeing
O grupo de ransomware LockBit assumiu a responsabilidade por ataques a dois contratantes do governo canadiano que expuseram informações sensíveis sobre funcionários do governo. O LockBit utiliza várias tácticas, técnicas e procedimentos (TTP) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows. O fabricante de aviões Boeing também informou que foi vítima de um ataque do LockBit.
Grupo Black Basta por detrás do ataque à Biblioteca Pública de Toronto
O grupo de ransomware Black Basta, cujas tácticas incluem visar o Active Directory das organizações, reivindicou a responsabilidade por um ataque à Biblioteca Pública de Toronto que comprometeu informações pessoais de funcionários, clientes, voluntários e doadores.