Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os aspectos relacionados com a identidade da violação da SolarWinds, bem como os ataques a uma empresa de serviços eléctricos no Brasil e a um sistema escolar de Nova Iorque.
As audições da SolarWinds revelaram lacunas na segurança da identidade
Durante a primeira audiência pública no Congresso sobre a violação da SolarWinds, os líderes tecnológicos da SolarWinds, Microsoft, FireEye e CrowdStrike testemunharam perante o Comité de Inteligência do Senado sobre os factores que conduziram ao ataque. O Presidente da Microsoft, Brad Smith, afirmou que os atacantes entraram nos sistemas de alguns clientes através de sistemas locais, acederam a credenciais de administrador e, em seguida, escalaram para serviços online, como o Office 365. Os atacantes também utilizaram métodos comuns, como a pulverização de palavras-passe, de acordo com Kevin Mandia, CEO da FireEye.
Sean Deuby, Director de Serviços da Semperis, comentou na Enterprise Security Tech que algumas das tácticas utilizadas na violação não eram "altamente sofisticadas, tácticas exclusivas de estados-nação; são métodos experimentados e verdadeiros utilizados amplamente por todos os maus actores para invadir o Active Directory em organizações de todo o mundo".
Empresa brasileira de electricidade ataca AD comprometido
O grupo Darkside executou um ataque de ransomware à Copel, empresa brasileira de serviços públicos de electricidade, ao obter acesso à solução de gestão de acesso privilegiado CyberArk da empresa. Os atacantes afirmam ter roubado informações confidenciais, incluindo mapas de rede, esquemas e horários de backup e zonas de domínio para o site público e a intranet da Copel. Eles também afirmam ter comprometido o arquivo NTDS.dit do Active Directory.
Active Directory visado num ataque de malware a escolas de Nova Iorque
Um ataque de malware às Victor Central Schools em Nova Iorque encriptou dados e sistemas - incluindo o Active Directory - obrigando ao encerramento da escola durante uma semana. Nenhum dado pessoal ou financeiro foi comprometido; essas informações estavam armazenadas em servidores externos. O ataque de malware está a ser investigado pelo Departamento de Segurança Interna e pelo FBI.
Mais recursos
Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.