Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os ciberataques relacionados com a identidade, incluindo a escalada dos ciberataques russos a agências federais dos EUA; o ataque patrocinado pelo Estado a um governo local dos EUA que explorou erros num aparelho Fortinet; o ataque Colonial Pipeline, que visava vulnerabilidades do Windows; o ataque ransomware MountLocker, que explorava APIs do Windows Active Directory; e muito mais.
A Microsoft informa que os cibercriminosos russos responsáveis pelo ataque à SolarWinds estão a intensificar os seus esforços
Uma publicação no blogue do vice-presidente da Microsoft, Tom Burt, alertou para o facto de os cibercriminosos russos por detrás do ataque da SolarWinds estarem a intensificar os seus esforços, desencadeando um ataque que concedeu acesso a contas de correio electrónico de cerca de 150 organizações através da Constant Contact, um serviço de marketing por correio electrónico utilizado pela Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID).
FBI: Os cibercriminosos da APT exploraram as falhas da Fortinet para atacar o governo local dos EUA
O FBI relata que agentes de ameaças persistentes avançadas (APT) patrocinados pelo Estado exploraram fraquezas num aparelho Fortinet para violar os servidores Web de uma organização governamental local dos EUA. Depois de obterem acesso, os cibercriminosos deslocaram-se lateralmente na rede para criar novas contas de utilizador de controlador de domínio, servidor e estação de trabalho.
Os atacantes do Colonial Pipeline visaram vulnerabilidades do Windows, incluindo o AD
O ataque de ransomware ao Colonial Pipeline, que encerrou um oleoduto de combustível de 8000 quilómetros, forneceu mais provas de que o grupo de ransomware responsável pelo ataque, o DarkSide, prefere visar vulnerabilidades do Windows, de acordo com o Director de Serviços da Semperis, Sean Deuby, num relatório da Cyber Security Asean.
Ataque Conti aos serviços de saúde irlandeses aproveitou o acesso a credenciais de domínio Windows
Conti, o grupo responsável pelo ciberataque aos serviços de saúde irlandeses, aplicou uma abordagem comprovada de utilização de ataques de phishing para instalar cavalos de Tróia que forneciam acesso remoto às máquinas infectadas, aproveitando esse acesso para aceder às credenciais de domínio do Windows e, em seguida, implantando ransomware em toda a rede.
O ransomware MountLocker explora as APIs do Windows Active Directory
O ransomware-as-a-service MountLocker utiliza agora as APIs do Windows Active Directory para invadir redes, de acordo com um relatório da Bleeping Computer. Depois de usar a API para se ligar aos serviços AD da vítima, os atacantes do MountLocker podem encontrar dispositivos no domínio comprometido e encriptá-los usando credenciais de domínio roubadas.
A CISA apela à revisão das autorizações para combater a variante de ransomware FiveHands
A Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) alertou para o facto de uma variante de ransomware relativamente nova, denominada FiveHands, explorar vulnerabilidades tecnológicas da Microsoft. A CISA recomenda medidas preventivas, incluindo a implementação de privilégios mínimos de conta e a activação da autenticação multi-factor em contas privilegiadas.
A correcção do ataque de ransomware no condado do norte da Califórnia exigiu a recuperação dos AD
A equipa de TI do condado de Yuba, na Califórnia, forneceu um relato detalhado da sua recuperação de um ataque de ransomware, que incluiu o restabelecimento do Active Directory depois de os cibercriminosos terem criado uma conta de administrador empresarial fraudulenta e encriptado 50 PCs e 100 servidores.
Analista apresenta conclusões segundo as quais as permissões incorrectas levaram à violação dos registos médicos dos veteranos
Um analista afirmou que cerca de 200 000 registos médicos de pacientes da Administração dos Veteranos dos EUA podem ter sido comprometidos por um grupo de ransomware que explorou uma base de dados deixada aberta por um fornecedor, permitindo a qualquer pessoa editar registos sem credenciais administrativas e expondo palavras-passe e informações de facturação.
Relatório: As operações arriscadas do Exchange estão no topo da lista de detecção de ameaças do Azure Active Directory
Um novo relatório sobre detecções de ameaças para o Azure Active Directory e o Office 365 identificou as operações arriscadas do Exchange como as principais ameaças com base na frequência e destaca os desafios da gestão de permissões em ambientes de identidade híbrida.
As medidas preventivas pós-ataque da Bose incluíram a reposição de palavras-passe e uma monitorização reforçada das alterações de conta
Depois de ter sido atingido por um ransomware que comprometeu alguns dados de clientes, o fabricante de equipamento de áudio Bose implementou medidas preventivas contra futuros ataques que incluíram a reposição de palavras-passe para todos os utilizadores finais e contas privilegiadas, monitorização e registo melhorados para detectar futuras alterações nas contas e chaves de acesso alteradas para todas as contas de serviço.
Mais recursos
Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.