Os ciberataques dirigidos ao Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a protegerem-se contra os ciberataques que visam o Active Directory, a equipa de investigação da Semperis oferece este resumo mensal de ataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os ataques BlackCat que desencadearam um aviso do FBI, um ataque do grupo Conti à Panasonic, um ataque Hive a uma empresa de saúde da Califórnia e muito mais.
A actividade do ransomware BlackHat desencadeia um aviso do FBI
O Federal Bureau of Investigation (FBI) dos EUA emitiu um alerta sobre o grupo BlackCat (também conhecido como ALPHV) ransomware-as-a-service (RaaS), que atacou dezenas de organizações em todo o mundo desde novembro de 2021. Suspeito de estar conectado ao REvil e ao grupo BlackMatter (Darkside) que atingiu Colonial Pipeline em maio de 2021, o BlackCat tem como alvo o Active Directory para obter entrada em sistemas de informação antes de lançar malware.
Empresas russas afetadas pela fuga de “ransomware” Conti
Ferramentas originalmente desenvolvidas pelo grupo russo de ransomware Conti e divulgadas por um programador ucraniano de ransomware foram utilizadas para atacar várias empresas russas. As tácticas do Conti incluem a obtenção de credenciais de administrador de domínio do Active Directory antes de implantar o ransomware.
O grupo de ransomware Hive ataca o Partnership HealthPlan of California
O grupo de ransomware Hive reivindicou a responsabilidade por um ataque que extraiu dados privados de 850.000 membros da Partnership HealthPlan of California. Entre outras tácticas, o Hive utiliza software de administração remota para se infiltrar nos sistemas e estabelecer a persistência, depois utiliza ferramentas como o ADRecon para mapear o ambiente AD.
Conti reivindica a responsabilidade pelo ataque às operações canadianas da Panasonic
Na segunda violação desde Novembro de 2021, a Panasonic informou que as suas operações no Canadá foram vítimas de um ciberataque direccionado. O grupo de ransomware Conti, que recentemente contratou ex-talentos do TrickBot para expandir sua capacidade de comprometer as credenciais de domínio do Active Directory, assumiu a responsabilidade.