À medida que os ciberataques que visam o Active Directory continuam a aumentar, as equipas de segurança, identidade e TI do AD enfrentam uma pressão crescente para monitorizar o cenário de ameaças em evolução centrado no AD. Para ajudar os profissionais de TI a compreender e prevenir os ataques que envolvem o AD, a equipa de investigação da Semperis publica um resumo mensal dos ciberataques recentes. No resumo deste mês de ataques relacionados com a identidade, a Microsoft alerta para o agente de ameaça Octo Tempest, o novo ransomware Rorschach (também conhecido como BabLock) atinge uma empresa de telecomunicações chilena e o ALPHV/BlackCat faz vários ataques.
Microsoft alerta para o ator da ameaça Octo Tempest
A Microsoft divulgou um perfil detalhado do agente de ameaças Octo Tempest, que faz parceria com o grupo de ransomware ALPHV/BlackCat para desencadear ataques de extorsão de dados e ransomware contra organizações que fornecem serviços de telecomunicações, correio eletrónico e tecnologia. A Microsoft recomenda a monitorização e a revisão dos processos relacionados com a identidade, entre outras directrizes.
Grupo Lazarus visa repetidamente fornecedores de software e servidores TeamCity
O grupo cibercriminoso norte-coreano Lazarus visou repetidamente um fornecedor de software para implantar o malware SIGNBT e reivindicou a responsabilidade por um ataque ao TeamCity, que produz servidores de integração e implantação contínuas. Os métodos do Lazarus incluem o comprometimento do Active Directory para obter listas de contas de administradores.
Telecomunicações chilenas afectadas pelo novo ransomware Rorschach que visa os controladores de domínio
O Grupo GTD, uma empresa de telecomunicações chilena que oferece serviços em toda a América Latina, foi alvo de um novo ransomware chamado Rorschach (também conhecido como BabLock), que é implantado através de uma técnica de carregamento lateral de DLL. Quando executado num domínio Windows, o ransomware cria uma Política de Grupo para propagar o malware a outros hosts.
ALPHV/BlackCat violam a Seiko, o tribunal da Florida e o MotelOne
O grupo de ransomware ALPHV/BlackCat reivindicou ataques ao fabricante de relógios Seiko, ao tribunal da Florida e à cadeia de hotéis de baixo orçamento MotelOne. O ALPHV/BlackCat visa habitualmente o Active Directory para entrar nos sistemas de informação antes de lançar o malware.
Plataforma de gestão de palavras-passe 1Password visada na violação da Okta
Os ciberataques obtiveram acesso ao inquilino de gestão de ID Okta da 1Password, uma plataforma de gestão de palavras-passe, embora a empresa tenha afirmado que terminou a atividade maliciosa e não encontrou provas de comprometimento de dados. (Para obter informações sobre como mitigar as vulnerabilidades do Okta, consulte Usando Purple Knight para detetar o ataque do Okta Super Admin - Semperis).
Sony é vítima de ataque MOVEit
O gigante do entretenimento Sony revelou que as informações dos seus empregados foram expostas nos ataques à plataforma MOVEit Transfer conduzidos pelo grupo de ransomware Clop, que utiliza métodos que incluem o comprometimento dos servidores Active Directory (AD) das vítimas e o lançamento de malware.