Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca novos ataques da LockBit a entidades públicas na Califórnia e em Portugal, um ataque da Hive a um hospital do Louisiana e um ataque da BlackCat ao fornecedor de energia colombiano EPM.
LockBit reivindica ataque ao Porto de Lisboa
O grupo de ransomware LockBit reivindicou um ataque no dia de Natal ao Porto de Lisboa, em Portugal, que comprometeu dados mas não afectou as operações do porto, embora o site oficial do porto tenha ficado offline. O porto, considerado uma infra-estrutura crítica, é um dos mais acedidos da Europa, servindo navios porta-contentores, navios de cruzeiro e barcos de recreio. O LockBit também reivindicou recentemente a responsabilidade por um ataque ao Departamento de Finanças da Califórnia. O grupo LockBit utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.
Grupo de ransomware Hive reivindica ataque a hospital do Louisiana
O grupo de ransomware Hive reivindicou a responsabilidade por um ataque de ransomware em Outubro ao Lake Charles Memorial Health System, no Louisiana, que comprometeu os dados de cerca de 270 000 pacientes. Entre outras tácticas, o Hive utiliza software de administração remota para se infiltrar nos sistemas e estabelecer a persistência, depois utiliza ferramentas como o ADRecon para mapear o ambiente AD.
O grupo de ransomware BlackCat ataca o fornecedor de energia colombiano EPM
Um ataque BlackCat/ALPHV contra o fornecedor de energia colombiano EPM afectou as operações de um dos maiores fornecedores de energia pública, água e gás do país. A Microsoft alertou recentemente para o facto de o grupo de ransomware BlackCat visar os servidores Exchange para recolher as informações do Active Directory necessárias para comprometer o ambiente e lançar cargas úteis de encriptação de ficheiros.