Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os ciberataques relacionados com a identidade, incluindo violações na JBS, FujiFilm e muito mais - além de detalhes sobre as tácticas utilizadas no ataque ao Colonial Pipeline.
O ataque ao Colonial Pipeline foi atribuído a uma conta inactiva
O grupo de ransomware Darkside utilizou uma palavra-passe comprometida para obter acesso a uma conta VPN inactiva na rede da Colonial Pipeline, um estratagema que conseguiu encerrar o gasoduto de 8000 km da empresa durante 5 dias e custou à empresa um resgate estimado em 5 milhões de dólares.
A rede da FujiFilm foi violada num ataque de ransomware
O conglomerado japonês FujiFilm foi forçado a encerrar parcialmente as suas operações no início de Junho, depois de a sua rede ter sido infectada com o malware Qbot, actualmente utilizado pelo grupo de ransomware REvil. O malware Qbot obtém acesso remoto a redes comprometidas, abrindo caminho a movimentos laterais no ambiente e à encriptação de dados.
O produtor de carne JBS pagou 11 milhões de dólares ao grupo de ransomware REvil após o ataque
A JBS pagou 11 milhões de dólares ao grupo de ransomware REvil para desencriptar ficheiros que foram comprometidos num ataque informático no final de Maio. Os funcionários da JBS disseram que precisavam do desencriptador para restaurar apenas algumas bases de dados - o resto dos dados foi recuperado a partir de cópias de segurança. A JBS foi forçada a fechar alguns locais de produção de alimentos enquanto as negociações estavam em andamento.
REvil tem como alvo o empreiteiro de armas nucleares dos EUA, Sol Oriens
A Sol Oriens, uma empresa de consultoria que gere tecnologias para aplicações militares e espaciais, foi atingida pelo grupo de ransomware REvil, que violou o sistema da empresa e adquiriu documentos. O REvil fez referência às ligações da Sol Oriens a agências militares numa declaração publicada no seu sítio de fuga de informação.
O Centro Nacional de Cibersegurança do Reino Unido apela ao aumento das defesas contra ciberataques no sector da educação
O Centro Nacional de Cibersegurança (NCSC) do Reino Unido alertou para o aumento dos ciberataques no sector da educação, chamando a atenção para a necessidade de as escolas e outras entidades educativas reforçarem as defesas contra tácticas que exploram palavras-passe fracas, falta de autenticação multifactor e vulnerabilidades não corrigidas no protocolo de ambiente de trabalho remoto (RDP) e nas redes privadas virtuais (VPN).
O fornecedor de compromissos da Câmara dos EUA, iConstitutent, foi comprometido por um ataque de ransomware
Um fornecedor de mensagens automáticas utilizado pela Câmara dos Representantes dos EUA para comunicar com os constituintes foi vítima de um ataque de ransomware que impediu os gabinetes da Câmara de aceder aos dados.
Mais recursos
Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.