Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los ciberataques relacionados con la identidad, entre los que se incluyen detalles sobre la brecha de MeteorExpress en el sistema ferroviario de Irán, varias vulnerabilidades de Microsoft, como PetitPotam y SeriousSam, y una nueva brecha de día cero en el software de SolarWinds.
El ataque de MeteorExpress utilizó Active Directory para comprometer el sistema ferroviario iraní
Un ataque contra el sistema ferroviario iraní utilizó la directiva de grupo Active Directory para distribuir por la red programas maliciosos que cifraron archivos y eliminaron las copias de seguridad del servicio Volume Shadow Copy Service (VSS), lo que complicó la recuperación.
Microsoft aborda varias vulnerabilidades relacionadas con la identidad
En una serie de advertencias, parches y soluciones, Microsoft abordó una serie de vulnerabilidades relacionadas con la identidad en su software, incluidos los ataques PetitPotam contra controladores de dominio de Windows, una vulnerabilidad crítica de ejecución de código de PowerShell 7 y el ataque SeriousSam que permite a cualquiera leer el registro en Windows 10. La compañía también añadió la detección PrintNightmare a Microsoft Defender for Identity, y añadió la capacidad en Microsoft Defender para que los equipos de operaciones de seguridad bloqueen la cuenta de Active Directory de un usuario comprometido.
CISA advierte a las agencias que parcheen la vulnerabilidad de Windows Print Spooler
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del Departamento de Seguridad Nacional de EE.UU. ordenó a los organismos del poder ejecutivo que aplicaran inmediatamente el parche fuera de banda que Microsoft publicó el 7 de julio para solucionar la vulnerabilidad del administrador de impresión de Windows apodada PrintNightmare.
Los atacantes volvieron a utilizar un fallo de día cero para vulnerar SolarWinds
SolarWinds informó que los actores de la amenaza utilizaron una falla de día cero en su software Serv-U Managed File Transfer y Serv-U Secure FTP para llevar a cabo ataques dirigidos que parecen no estar relacionados con el ataque de barrido en su software Orion descubierto a finales de 2020.
REvil desata un ataque de gran alcance a la cadena de suministro a través de Kaseya
El grupo de ransomware REvil utilizó la vulnerabilidad de día cero para distribuir malware a través de una actualización falsa y automatizada de la solución VSA de Kaseya, que los proveedores de servicios gestionados (MSP) de Estados Unidos y Reino Unido utilizan para gestionar los sistemas de sus clientes.
Las autoridades desmantelan un servidor de DoubleVPN utilizado por ciberdelincuentes
Dirigido por la Policía Nacional holandesa, un consorcio de autoridades de Estados Unidos, Europa y Canadá incautó los dominios web y la infraestructura de servidores de DoubleVPN, una VPN utilizada por los ciberdelincuentes para enmascarar sus ubicaciones e identidades.
AvosLocker utiliza vulnerabilidades de DC para atacar a sus víctimas
Un nuevo grupo de ransomware, AvosLocker, se dirige a controladores de dominio vulnerables para entrar en los sistemas de información y distribuir malware a sus víctimas, entre ellas la ciudad de Geneva, en Ohio.
Más recursos
¿Quiere reforzar las defensas de su Active Directory contra los ciberataques? Consulte nuestros últimos recursos.
