Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca o emergente Bloody Ransomware Gang, uma campanha de envenenamento de SEO que pode levar a um compromisso do Active Directory e vários ataques reivindicados pelo grupo de ransomware Hive.
Grupo de ransomware emergente utiliza o construtor LockBit que vazou em ataques a entidades ucranianas
O Bloody Ransomware Gang, que começou a operar em Maio de 2022 com ataques a clínicas médicas e dentárias de Nova Iorque, utilizou um construtor de ransomware LockBit 3.0 que foi divulgado no Twitter para lançar ataques a uma organização ucraniana. O grupo LockBit utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.
Campanha de envenenamento de SEO compromete várias organizações
Os cibercriminosos utilizaram uma campanha de envenenamento de SEO para atacar várias organizações, visando os funcionários que utilizam determinados termos de pesquisa e levando-os a clicar em resultados de pesquisa maliciosos. As vítimas que clicam em recursos oferecidos em páginas de fóruns falsos desencadeiam malware que recolhe informações do utilizador que podem expor o nome de domínio corporativo interno da organização, levando potencialmente a um compromisso do Active Directory.
Lapsus$ viola os sistemas internos da Uber
O grupo adolescente de cibercrime Lapsus$ reivindicou a responsabilidade por um ataque que comprometeu os sistemas da Uber, incluindo o seu canal Slack e os sítios Web da intranet. A Microsoft alert ou para as várias tácticas utilizadas pelo Lapsus$, incluindo a exploração de falhas em ferramentas como o Confluence e o GitLab para obter credenciais de contas privilegiadas e utilizar um comando incorporado da Microsoft (ntdsutil) para extrair a base de dados AD de uma rede visada.
O grupo Hive reivindica a responsabilidade por ataques a organizações em Nova Iorque e no Canadá
O grupo de ransomware Hive assumiu a autoria de ataques no Verão passado à New York Racing Association e à Empress EMS, um fornecedor de serviços de emergência e ambulâncias com sede em Nova Iorque. O Hive também reivindicou recentemente um ataque à Bell Canada, subsidiária da Bell Technical Solutions. Entre outras tácticas, o Hive utiliza software de administração remota para se infiltrar nos sistemas e estabelecer persistência, utilizando depois ferramentas como o ADRecon para mapear o ambiente AD.
BlackCat reivindica ataque à agência de energia italiana
O grupo de ransomware BlackCat (também conhecido como AlphV) reivindicou a responsabilidade por um ataque à agência de energia italiana Gestore dei Servizi Energetici SpA (GSE), que destruiu o seu sítio Web e outros sistemas. A Microsoft alertou recentemente para o facto de o grupo de ransomware BlackCat visar os servidores Exchange para recolher as informações do Active Directory necessárias para comprometer o ambiente e lançar cargas úteis de encriptação de ficheiros.