Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os ciberataques relacionados com a identidade, incluindo pormenores sobre a violação do sistema ferroviário iraniano pela MeteorExpress, várias vulnerabilidades da Microsoft, incluindo PetitPotam e SeriousSam, e uma nova violação de dia zero do software SolarWinds.
O ataque do wiper MeteorExpress utilizou o Active Directory para comprometer o sistema ferroviário do Irão
Um ataque wiper ao sistema ferroviário do Irão utilizou a política de grupo do Active Directory para enviar malware através da rede que encriptou ficheiros e eliminou cópias de segurança do Volume Shadow Copy Service (VSS), complicando a recuperação.
A Microsoft resolve várias vulnerabilidades relacionadas com a identidade
Numa série de avisos, patches e soluções alternativas, a Microsoft abordou uma série de vulnerabilidades relacionadas com a identidade no seu software, incluindo os ataques PetitPotam contra controladores de domínio do Windows, uma vulnerabilidade crítica de execução de código PowerShell 7 e o ataque SeriousSam que permite a qualquer pessoa ler o registo no Windows 10. A empresa também adicionou a detecção PrintNightmare ao Microsoft Defender para Identidade e adicionou a capacidade no Microsoft Defender para que as equipas de operações de segurança bloqueiem a conta Active Directory de um utilizador comprometido.
A CISA avisa as agências para corrigirem a vulnerabilidade do spooler de impressão do Windows
A Agência de Segurança Cibernética e de Infra-estruturas (CISA) do Departamento de Segurança Interna dos Estados Unidos deu instruções às agências do poder executivo para aplicarem imediatamente a correcção fora de banda que a Microsoft lançou a 7 de Julho para corrigir a vulnerabilidade do Spooler de Impressão do Windows, designada PrintNightmare.
Os atacantes utilizaram uma falha de dia zero para violar novamente a SolarWinds
A SolarWinds informou que os agentes de ameaças utilizaram uma falha de dia zero no seu software Serv-U Managed File Transfer e Serv-U Secure FTP para realizar ataques direccionados que parecem não estar relacionados com o ataque generalizado ao seu software Orion descoberto no final de 2020.
REvil desencadeia ataque de longo alcance à cadeia de suprimentos via Kaseya
O grupo de ransomware REvil utilizou a vulnerabilidade de dia zero para distribuir malware através de uma actualização falsa e automatizada da solução VSA da Kaseya, que os fornecedores de serviços geridos (MSP) nos EUA e no Reino Unido utilizam para gerir os sistemas dos seus clientes.
Autoridades orquestram a retirada do servidor DoubleVPN utilizado por cibercriminosos
Liderado pela Polícia Nacional Holandesa, um consórcio de autoridades dos EUA, Europa e Canadá apreendeu os domínios web e a infra-estrutura de servidores da DoubleVPN, uma VPN utilizada por cibercriminosos para mascarar as suas localizações e identidades.
O AvosLocker utiliza vulnerabilidades DC para atingir as vítimas
Um novo grupo de ransomware, AvosLocker, visa controladores de domínio vulneráveis para entrar nos sistemas de informação e distribuir malware às suas vítimas, incluindo a cidade de Genebra, no Ohio.
Mais recursos
Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.