Os ciberataques que visam o Active Directory (AD) estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a protegerem-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca novas informações sobre ataques recentes relacionados com a identidade, incluindo os ataques do HermeticWiper a organizações ucranianas, a campanha de engenharia social Lapsus$ (também conhecida por Dev-0537) e os ataques do AvosLocker a alvos de infra-estruturas críticas.
Os atacantes obtiveram acesso ao AD e utilizaram o HermeticWiper em ataques a organizações ucranianas
Numa campanha planeada durante meses, os agentes de ameaças obtiveram acesso aos servidores AD e implementaram o malware HermeticWiper através da política de domínio predefinida.
Lapsus$ aka Dev-0537 usa engenharia social e extorsão para aceder a sistemas de informação
Através da engenharia social e da extorsão, o grupo de ransomware Lapsus$ (Dev-0537) utilizou credenciais comprometidas para aceder aos sistemas de informação das organizações, incluindo fornecedores de identidade como o Azure Active Directory e o Okta.
O serviço de “ransomware” AvosLocker atinge alvos de infraestruturas críticos
Utilizando vários métodos para obter privilégios de administrador de domínio nas contas AD das vítimas, o grupo de ransomware como serviço AvosLocker visou várias organizações em sectores de infra-estruturas críticas, incluindo organizações governamentais, indústria transformadora e serviços financeiros.
LockBit 2.0 assume a responsabilidade pelo ataque à Bridgestone
O grupo de ransomware como serviço LockBit 2.0 reivindicou recentemente a responsabilidade por ataques ao fornecedor automóvel japonês Bridgestone. O LockBit utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.
A CISA renova o patch PrintNightmare e os avisos de configuração MFA
A Cybersecurity and Infrastructure Security Agency (CISA), num comunicado conjunto com o FBI, emitiu novos avisos de que os piratas informáticos russos estão a explorar activamente falhas não corrigidas, como o PrintNightmare, e práticas de risco, como políticas de MFA não aplicadas, que lhes permitem obter acesso a redes e instalar malware.