Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os ciberataques relacionados com a identidade, incluindo os abusos do LockFile das falhas ProxyShell e PetitPotam, o aumento dos ataques LockBit 2.0 e a expansão das explorações Hive.
Os atacantes do LockFile aceleram a utilização das falhas do ProxyShell Exchange Server e do PetitPotam
A Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) alertou para o facto de os atacantes do LockFile estarem a explorar activamente a falha do ProxyShell Exchange Server e a vulnerabilidade PetitPotam para obterem acesso ao Active Directory e às redes que o acompanham e, subsequentemente, lançarem malware.
Surgem ataques LockBit 2.0
O aumento dos ataques do LockBit 2.0, que incluem uma violação dos sistemas da empresa de consultoria global Accenture, levou o Centro Australiano de Cibersegurança a lançar um aviso sobre um "aumento acentuado e significativo" dos ataques registados. O LockBit 2.0 encripta automaticamente dispositivos em domínios Windows, abusando das políticas de grupo do Active Directory.
O ataque do Hive ao sistema de saúde acciona o alerta do FBI
O FBI emitiu um alerta e uma lista de Indicators of Compromise (IOCs) associados ao ransomware Hive depois de o grupo ter derrubado o Memorial Health System, que opera no Ohio e na Virgínia. Entre várias outras tácticas, o Hive utiliza software de administração remota, como o ConnectWise, para se infiltrar nos sistemas e estabelecer persistência, e depois utiliza ferramentas como o ADRecon para mapear o ambiente do Active Directory.
Subsidiária da Nokia sofre ataque de ransomware Conti
A SAC Wireless, uma subsidiária da Nokia, foi atingida por um ataque de ransomware do grupo Conti, que violou a rede, roubou dados e encriptou sistemas. O ataque levou a empresa a reforçar as políticas de acesso ao sistema e a expandir os requisitos de autenticação multi-factor (MFA), entre outras medidas de correcção.
Suspeita-se de crime organizado no ataque a um hospital do Nevada
O University Medical Center Southern Nevada comunicou um ataque de ransomware que, segundo os analistas, pode ser obra do grupo REvil, que utiliza várias tácticas para violar sistemas, incluindo a exploração de privilégios de administrador.
Criador de jogos da Crytek relata ataque de ransomware Egregor
O grupo de ransomware como serviço Egregor violou os sistemas de informação do criador de jogos Crytek, encriptando dados e roubando informações de clientes. O Egregor, que foi responsável por ataques notórios aos retalhistas Barnes & Noble e Kmart, explora configurações incorrectas do Active Directory para violar redes.
As ameaças BazaCall utilizam centros telefónicos para lançar malware
A Microsoft intensificou os avisos sobre as ameaças BazaCall, que induzem as vítimas a telefonar para um centro telefónico fraudulento e a descarregar o ransomware BazaLoader com orientação passo a passo de operadores humanos. Após a violação inicial, os atacantes utilizam o ADFind (uma ferramenta gratuita de descoberta de AD na linha de comandos) para aumentar o reconhecimento dos sistemas das vítimas.