Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca acções para mitigar duas vulnerabilidades do Active Directory que podem permitir aos atacantes assumir o controlo de domínios Windows, a vulnerabilidade Log4j e a nova actividade do grupo de ransomware Cuba.
Aconselham-se correcções e acções adicionais para resolver as vulnerabilidades do Active Directory
Depois de lançar correções de segurança para duas vulnerabilidades do Active Directory durante a Patch Tuesday de novembro de 2021, a Microsoft pediu aos clientes em 20 de dezembro que aplicassem as correções imediatamente para evitar que os invasores assumissem o controle dos domínios do Windows. Além da aplicação de patches, as organizações podem tomar medidas adicionais para evitar a criação não autorizada de contas que podem levar à escalada de privilégios e a um ataque.
O ransomware Conti utiliza a vulnerabilidade Log4j como arma
O grupo Conti, sediado na Rússia, desenvolveu uma cadeia de ataque abrangente baseada na vulnerabilidade Log4j da biblioteca de registo Apache, descoberta em Dezembro. A metodologia de ataque inclui o Kerberoasting, que extrai credenciais de contas de serviço do Active Directory. Suspeita-se que a vulnerabilidade Log4j tenha estado na origem de um ataque de ransomware à Kronos, uma das maiores empresas de software de recursos humanos, que afectou os sistemas de processamento de salários de organizações como a Autoridade Metropolitana de Transportes de Nova Iorque (MTA) e muitos hospitais.
O FBI alerta para a atividade de um grupo de “ransomware” de Cuba que visa infraestruturas críticas
O U.S. Federal Bureau of Investigation (FBI) descobriu tácticas, incluindo credenciais comprometidas, utilizadas pelo grupo de ransomware de Cuba para comprometer dezenas de entidades de infra-estruturas críticas em sectores que abrangem a saúde, o governo e outros sectores.
As tácticas do ransomware ALPHV BlackCat incluem a configuração de credenciais de domínio
O grupo de investigação MalwareThreatHunter descobriu o ALPHV BlackCat, um novo e sofisticado ransomware que inclui um conjunto de funcionalidades personalizáveis que permite aos agentes de ameaças - entre outras tácticas - configurar credenciais de domínio para espalhar malware e encriptar dispositivos na rede.
Mais recursos
Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.
- 3 passos para atenuar duas falhas de segurança recentes de escalonamento de privilégios do serviço de domínio do Active Directory | Semperis
- Compreender os riscos das definições de compatibilidade anteriores ao Windows 2000 no Windows 2022 | Semperis
- 6 conclusões da Conferência Global HIP 2021 | Semperis
