Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca o aumento da actividade da Conti, os atacantes BlackCat que visam os servidores Exchange e muito mais.
Grupo Conti ataca 40 organizações num mês
O grupo Conti ransomware-as-a-service (RaaS) conduziu uma campanha que violou mais de 40 organizações em um mês no final de 2021. O Conti, cujas táticas incluem o comprometimento de credenciais de domínio do Active Directory, monitoriza frequentemente as atualizações do Windows e analisa as alterações de novos patches para descobrir novas abordagens de ataque.
A CISA insta as organizações a adoptarem o Exchange Online Modern Auth
A Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) instou as agências e as organizações privadas que utilizam a plataforma de correio electrónico em nuvem Microsoft Exchange a mudarem dos modelos de autenticação antigos para o Modern Auth (Biblioteca de Autenticação do Active Directory e autenticação baseada em token OAuth 2.0) para se protegerem contra ataques de pulverização de palavras-passe.
Os atacantes BlackCat visam os servidores Exchange para recolher informações sobre o Active Directory
A Microsoft alertou recentemente para o facto de o grupo de ransomware BlackCat estar agora a visar os servidores Exchange para recolher as informações do Active Directory necessárias para comprometer o ambiente e lançar cargas úteis de encriptação de ficheiros. Para além de actualizar os servidores Exchange e monitorizar o acesso à rede externa, a Microsoft recomenda que as organizações revejam a sua postura de segurança de identidade.
O grupo de ransomware Vice Society ataca a cidade italiana de Palermo
A Vice Society, que explora vulnerabilidades conhecidas em sistemas não corrigidos - incluindo a falha PrintNightmare - reivindicou a responsabilidade por um ciberataque em Palermo, Itália. O ataque causou uma interrupção em grande escala dos serviços online.
O grupo Black Basta associa-se à operação de malware QBot para comprometer ambientes empresariais
O Black Basta, um novo grupo de ransomware, conseguiu rapidamente comprometer os ambientes empresariais ao associar-se aos criadores do QBot (também conhecido como QuakBot), um malware para Windows que rouba credenciais bancárias e credenciais de domínio do Windows e, em seguida, descarrega malware nos dispositivos infectados.