Los ciberataques contra Active Directory van en aumento, lo que obliga a los equipos de seguridad de identidades y Active Directory (AD) a vigilar el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los nuevos ataques de varios grupos de ransomware consolidados: Vice Society continúa su campaña contra entidades del sector público, incluidas escuelas y servicios de extinción de incendios, Sandworm despliega varias formas de malware de borrado de datos en objetivos ucranianos, y LockBit ataca a Royal Mail y a la empresa ferroviaria y de locomotoras Wabtec.
El malware SwiftSlicer, atribuido a Sandworm, destruye datos en Ucrania
SwiftSlicer, un nuevo malware de borrado de datos que sobrescribe archivos cruciales utilizados por el sistema operativo Windows, fue utilizado en un ataque contra Ucrania atribuido a Sandworm, un grupo de ciberdelincuentes que trabaja para el gobierno ruso. El grupo Sandworm utilizó la directiva de grupo Active Directory para lanzar SwiftSlicer.
Sandworm ataca a una agencia de noticias ucraniana con limpiadores de datos
Sandworm utilizó cinco tipos de wiperware en un intento de acabar con los sistemas de datos de Ukrinform, la agencia nacional de noticias de Ucrania. El malware incluía CaddyWiper, ZeroWipe y SDelete, todos ellos dirigidos al sistema operativo Windows. Los atacantes utilizaron la directiva de grupo Active Directory para lanzar el malware CaddyWiper. Aunque el ataque destruyó archivos en algunos sistemas de almacenamiento de datos, no consiguió interrumpir las operaciones de Ukrinform.
Vice Society continúa los ataques relacionados con AD contra organizaciones globales del sector público
La banda de ransomware Vice Society prosiguió su campaña contra escuelas y universidades con un ataque a la Universidad de Duisburg-Essen (Alemania) que interrumpió las operaciones informáticas y expuso datos personales de estudiantes y personal. Vice Society también reivindicó la autoría de un ataque contra la Fire Rescue Victoria de Australia que afectó a los servicios internos y puso en peligro los datos de los empleados. Vice Society, que utiliza ransomware como BlackCat para comprometer Active Directory y hacerse con el control del entorno de red de la organización víctima, también es responsable del ataque del verano de 2022 contra el Distrito Escolar Unificado de Los Ángeles, el segundo más grande de Estados Unidos.
La banda de ransomware LockBit vinculada a los ataques a Royal Mail y a la empresa de ferrocarriles y locomotoras Wabtec
Un ransomware encriptador LockBit se utilizó en un ataque a Royal Mail, el mayor servicio de reparto de correo del Reino Unido, que causó una interrupción de los servicios de exportación internacional. LockBit también se dirigió al fabricante estadounidense de locomotoras y ferrocarriles Wabtec en un ataque que filtró información personal y sensible después de que Wabtec se negara a pagar el rescate. El grupo LockBit utiliza diversas tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluido el abuso de las políticas de grupo de AD para cifrar dispositivos en todos los dominios de Windows.
Más recursos
