Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de segurança de identidade e do Active Directory (AD) a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca novos ataques de vários grupos de ransomware estabelecidos: A Vice Society continua a sua campanha contra entidades do sector público, incluindo escolas e serviços de combate a incêndios, a Sandworm utiliza várias formas de malware de limpeza de dados em alvos ucranianos e a LockBit ataca o Royal Mail e a empresa de caminhos-de-ferro e locomotivas Wabtec.
O malware de destruição de dados SwiftSlicer, atribuído ao Sandworm, atinge um alvo na Ucrânia
O SwiftSlicer, um novo malware de limpeza de dados que substitui ficheiros cruciais utilizados pelo sistema operativo Windows, foi utilizado num ataque contra a Ucrânia atribuído ao Sandworm, um grupo de cibercrime que trabalha para o governo russo. O grupo Sandworm utilizou a Política de Grupo do Active Directory para lançar o SwiftSlicer.
Sandworm ataca agência noticiosa ucraniana com destruidores de dados
O Sandworm utilizou cinco tipos de wiperware numa tentativa de deitar abaixo os sistemas de dados da Ukrinform, a agência noticiosa nacional da Ucrânia. O malware incluía o CaddyWiper, o ZeroWipe e o SDelete, todos eles direccionados para o sistema operativo Windows. Os atacantes utilizaram a Política de Grupo do Active Directory para lançar o malware CaddyWiper. Embora o ataque tenha destruído ficheiros em alguns sistemas de armazenamento de dados, não conseguiu interromper as operações da Ukrinform.
A Vice Society prossegue os ataques relacionados com a DA a organizações mundiais do sector público
A quadrilha de ransomware Vice Society continuou a sua campanha contra escolas e universidades com um ataque à Universidade de Duisburg-Essen, na Alemanha, que perturbou as operações informáticas e expôs dados pessoais de estudantes e funcionários. A Vice Society também reivindicou a responsabilidade por um ataque ao Fire Rescue Victoria, na Austrália, que afectou os serviços internos e comprometeu os dados dos funcionários. A Vice Society, que utiliza ransomware, incluindo o BlackCat, para comprometer o Active Directory e obter o controlo do ambiente de rede da organização vítima, é também responsável pelo ataque do Verão de 2022 ao Distrito Escolar Unificado de Los Angeles, o segundo maior distrito escolar dos EUA.
Grupo de ransomware LockBit associado a ataques ao Royal Mail e à empresa de caminhos-de-ferro e locomotivas Wabtec
Um encriptador ransomware LockBit foi utilizado num ataque ao Royal Mail, o maior serviço de entrega de correio do Reino Unido, que causou uma perturbação nos serviços de exportação internacionais. O LockBit também visou o fabricante americano de locomotivas e carris Wabtec num ataque que divulgou informações pessoais e sensíveis depois de a Wabtec se ter recusado a pagar o resgate. O grupo LockBit utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.