Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca o malware "data wiper" utilizado em ciberataques que destruíram sítios Web do governo e de bancos ucranianos, os erros cometidos pela NOAA que facilitaram o Colonial Pipeline e outros ataques, e a aquisição pela Conti do talento da TrickBot para expandir as técnicas de ataque.
Ciberataques que visam a Ucrânia obtêm controlo do Active Directory para lançar malware de limpeza de dados
Nas primeiras horas do ataque russo à Ucrânia, os ciberataques colocaram as agências governamentais e os bancos ucranianos offline, lançando malware de limpeza de dados. Em pelo menos um caso, os ciberataques obtiveram o controlo do servidor do Active Directory antes de lançarem o malware wiper através do GPO da política de domínio.
Auditoria: A NOAA geriu "inadequadamente" o Active Directory, o que levou ao Colonial Pipeline e a outras explorações
De acordo com uma auditoria do Gabinete do Inspector-Geral dos EUA, a Administração Nacional Oceânica e Atmosférica (NOAA) geriu "inadequadamente" o Active Directory e não conseguiu proteger alvos principais, como as credenciais dos utilizadores - vulnerabilidades que foram exploradas no ataque ao Colonial Pipeline, bem como noutros ataques que permitiram aos grupos de ransomware DarkSide e REvil obter acesso remoto a entidades dos EUA.
A Conti adquire o talento da TrickBot para expandir as explorações do Active Directory
O grupo de ransomware Conti contratou antigos especialistas em penetração da TrickBot para expandir a sua capacidade de obter credenciais de administrador de domínio do Active Directory nos sistemas das organizações vítimas antes de implantar o ransomware. Recentemente, os cibercriminosos utilizaram uma campanha de phishing nos clientes do U.S. Postal Service para os induzir a instalar o malware TrickBot.
Os ataques da Cruz Vermelha exploram uma falha de software de terceiros para comprometer o Active Directory
Agentes maliciosos utilizaram uma falha no Zoho ManageEngine ADSelfService Plus para atacar o Comité Internacional da Cruz Vermelha (CICV), comprometendo os dados de mais de 515.000 pessoas. A falha não corrigida permitiu que os atacantes comprometessem contas administrativas, se movessem lateralmente através do sistema e exfiltrassem hives do registo do Windows e ficheiros AD.
O FBI alerta para os ataques do LockBit 2.0
O U.S. Federal Bureau of Investigation (FBI) divulgou os indicadores de comprometimento (IOCs) associados ao ransomware LockBit 2.0, que utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos nos domínios do Windows.